Nacos存在未授权访问，这个安全漏洞怎么修复？

要解决Nacos默认JWT密钥导致的未授权访问问题，可以遵循以下步骤：

确认当前Nacos版本：首先，确保您的Nacos服务端版本至少为2.2.3，因为从这个版本开始，Nacos默认不再指定默认密钥以避免因未修改默认密钥而带来的安全风险。

开启鉴权功能：如果尚未开启，您需要立即在Nacos配置中开启鉴权能力。这包括但不限于设置访问控制，确保只有经过身份验证的用户才能访问Nacos的管理界面和API。

配置自定义JWT密钥：在Nacos配置文件中（如application.properties或nacos.conf），需要设置自定义的JWT密钥，例如nacos.core.auth.token.secret.key=your_custom_secret_key。确保这个密钥是复杂且随机生成的，以增加安全性。

修改默认账户密码：即使开启了鉴权，也应该修改默认的用户名和密码，以防止因使用默认凭据而被轻易攻破。可以通过Nacos控制台或配置文件进行修改。

升级与安全策略调整：如果条件允许，建议升级到最新稳定版本的Nacos，以应用最新的安全更新和特性。同时，考虑采取额外的安全措施，比如配置防火墙规则，仅允许特定IP或网络访问Nacos服务，以及启用TLS加密来保护数据传输。

使用阿里云MSE Nacos云服务：对于寻求更简便管理和更高安全标准的用户，可以考虑使用阿里云MSE提供的Nacos云服务，它不仅内置了企业级鉴权能力，还包括配置信息的加解密和数据传输链路的TLS加密，且支持从自建Nacos实例平滑迁移至云版本，欢迎免费试用。

参考文档https://nacos.io/en/blog/faq/nacos-user-question-history14699/