在前面章节我们已经为大家介绍了Spring Cloud config进行配置管理的基本流程。在使用Config Server的时候，我们可以通过一些固定模式的http-URL，没有任何限制的访问到项目的配置文件信息，这样很不安全。 为了解决这个问题，我们可以使用spring security进行简单的basic安全认证(也可自定义认证方式，这里不做扩展，需要深入去学习Spring Security) ## 一、Config Server服务端改造 在`zimug-server-config`的pom文件中增加依赖： ~~~ <dependency> <!-- spring security 安全认证 --> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ~~~ 配置文件application.yml增加security配置： ~~~ spring: security: basic: enabled: true #启用基本认证(默认) user: name: zimug #自定义登录用户名 password: pwd123456 #自定义登录密码 ~~~ 启动服务，测试一下。请求[http://localhost:8771/aservice-sms-dev.yml](http://localhost:8771/aservice-sms-dev.yml)，会发现弹出了security的basic登录验证：  输入我们自定义的用户名密码，返回请求配置信息。这种方式实际上也是一种简陋的安全认证方式，但总比没有强。 ## 二、微服务客户端改造 当config server增加了登录认证之后，我们的微服务客户端想要正确的获取配置信息，在发送请求的时候也要携带用户名密码。修改配置文件bootstrap.yml，增加username和password配置：  ## 三、结果验证 首先启动config server服务端项目：zimug-server-config，然后启动aservice-sms和aservice-rbac服务。验证方式和《config客户端基础》章节的结果验证方法一致，详细内容可以回顾查看。 * 一是日志中明确输出了获取到对应的配置文件信息。 * 二是微服务正确的向服务注册中心eureka'进行了注册。 至此，spring cloud config安全配置完成~