В моем проекте есть Spring Security. Основная проблема: невозможно получить доступ к URL-адресу swagger по адресу http: // localhost: 8080 / api / v2 / api-docs . Он говорит, что заголовок авторизации отсутствует или недействителен.
Снимок экрана окна браузера. В моем pom.xml есть следующие записи
<dependency>
<groupId>io.springfox</groupId>
<artifactId>springfox-swagger2</artifactId>
<version>2.4.0</version>
</dependency>
<dependency>
<groupId>io.springfox</groupId>
<artifactId>springfox-swagger-ui</artifactId>
<version>2.4.0</version>
</dependency>
SwaggerConfig:
@Configuration
@EnableSwagger2
public class SwaggerConfig {
@Bean
public Docket api() {
return new Docket(DocumentationType.SWAGGER_2).select()
.apis(RequestHandlerSelectors.any())
.paths(PathSelectors.any())
.build()
.apiInfo(apiInfo());
}
private ApiInfo apiInfo() {
ApiInfo apiInfo = new ApiInfo("My REST API", "Some custom description of API.", "API TOS", "Terms of service", "myeaddress@company.com", "License of API", "API license URL");
return apiInfo;
}
AppConfig:
@Configuration
@EnableWebMvc
@ComponentScan(basePackages = { "com.musigma.esp2" })
@Import(SwaggerConfig.class)
public class AppConfig extends WebMvcConfigurerAdapter {
// ========= Overrides ===========
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new LocaleChangeInterceptor());
}
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("swagger-ui.html")
.addResourceLocations("classpath:/META-INF/resources/");
registry.addResourceHandler("/webjars/**")
.addResourceLocations("classpath:/META-INF/resources/webjars/");
}
Записи web.xml:
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
com.musigma.esp2.configuration.AppConfig
com.musigma.esp2.configuration.WebSecurityConfiguration
com.musigma.esp2.configuration.PersistenceConfig
com.musigma.esp2.configuration.ACLConfig
com.musigma.esp2.configuration.SwaggerConfig
</param-value>
</context-param>
WebSecurityConfig:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan(basePackages = { "com.musigma.esp2.service", "com.musigma.esp2.security" })
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.csrf()
.disable()
.exceptionHandling()
.authenticationEntryPoint(this.unauthorizedHandler)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/auth/login", "/auth/logout").permitAll()
.antMatchers("/api/**").authenticated()
.anyRequest().authenticated();
// custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication
httpSecurity.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class);
// custom Token based authentication based on the header previously given to the client
httpSecurity.addFilterBefore(new StatelessTokenAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class);
}
}
spring-mvc
swagger
swagger-ui
swagger-2.0
springfox
шубхенду_шекхар
источник
источник
Я обновился с помощью / configuration / ** и / swagger-resources / **, и у меня это сработало.
@Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**"); }источник
У меня была такая же проблема с использованием Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0. И я решил проблему, используя следующую конфигурацию безопасности, которая разрешает открытый доступ к ресурсам пользовательского интерфейса Swagger.
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { private static final String[] AUTH_WHITELIST = { // -- swagger ui "/v2/api-docs", "/swagger-resources", "/swagger-resources/**", "/configuration/ui", "/configuration/security", "/swagger-ui.html", "/webjars/**" // other public endpoints of your API may be appended to this array }; @Override protected void configure(HttpSecurity http) throws Exception { http. // ... here goes your custom security configuration authorizeRequests(). antMatchers(AUTH_WHITELIST).permitAll(). // whitelist Swagger UI resources // ... here goes your custom security configuration antMatchers("/**").authenticated(); // require authentication for any endpoint that's not whitelisted } }источник
{ "timestamp": 1519798917075, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "/<some path>/shop" }antMatchers("/**").authenticated()оператор или заменить его собственной конфигурацией аутентификации. Будьте осторожны, вам лучше знать, что вы делаете с безопасностью.SecurityConfigurationкласс в свой проект. У вас должен быть собственный,SecurityConfigurationгде вы разрешаете запросы к ресурсам пользовательского интерфейса Swagger и обеспечиваете безопасность ваших API.AuthorizationServerConfigurerAdapterреализовал класс, который выполняет аутентификацию API.Для тех, кто использует более новую версию swagger 3
org.springdoc:springdoc-openapi-ui@Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v3/api-docs/**", "/swagger-ui.html", "/swagger-ui/**"); } }источник
если ваша версия springfox выше 2,5 ,, следует добавить WebSecurityConfiguration, как показано ниже:
@Override public void configure(HttpSecurity http) throws Exception { // TODO Auto-generated method stub http.authorizeRequests() .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll() .and() .authorizeRequests() .anyRequest() .authenticated() .and() .csrf().disable(); }источник
/swagger-resources./v2/api-docs- это конечная точка apispringfox.documentation.swagger.v2.pathswaggerБолее или менее на этой странице есть ответы, но не все в одном месте. Я занимался той же проблемой и неплохо потратил на это время. Теперь у меня есть лучшее понимание, и я хотел бы поделиться этим здесь:
I Включение пользовательского интерфейса Swagger с помощью веб-безопасности Spring:
Если вы включили Spring Websecurity по умолчанию, он блокирует все запросы к вашему приложению и возвращает 401. Однако для загрузки пользовательского интерфейса swagger в браузере swagger-ui.html выполняет несколько вызовов для сбора данных. Лучший способ отладки - открыть swagger-ui.html в браузере (например, google chrome) и использовать параметры разработчика (клавиша «F12»). Вы можете увидеть несколько вызовов, сделанных при загрузке страницы, и если swagger-ui загружается не полностью, возможно, некоторые из них не работают.
вам может потребоваться указать Spring websecurity игнорировать аутентификацию для нескольких шаблонов пути swagger. Я использую swagger-ui 2.9.2, и в моем случае ниже приведены шаблоны, которые мне пришлось игнорировать:
Однако, если вы используете другую версию, она может измениться. вам, возможно, придется выяснить свой вариант с помощью разработчика в вашем браузере, как я уже сказал.
@Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html" , "/webjars/**", "/csrf", "/"); } }II Включение пользовательского интерфейса Swagger с перехватчиком
Как правило, вы можете не захотеть перехватывать запросы, сделанные swagger-ui.html. Чтобы исключить несколько шаблонов чванства, ниже приведен код:
В большинстве случаев шаблон для веб-безопасности и перехватчика будет одинаковым.
@Configuration @EnableWebMvc public class RetrieveCiamInterceptorConfiguration implements WebMvcConfigurer { @Autowired RetrieveInterceptor validationInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(validationInterceptor).addPathPatterns("/**") .excludePathPatterns("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html" , "/webjars/**", "/csrf", "/"); } @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("swagger-ui.html") .addResourceLocations("classpath:/META-INF/resources/"); registry.addResourceHandler("/webjars/**") .addResourceLocations("classpath:/META-INF/resources/webjars/"); } }Поскольку вам может потребоваться включить @EnableWebMvc для добавления перехватчиков, вам также может потребоваться добавить обработчики ресурсов в swagger, аналогично тому, как я сделал в приведенном выше фрагменте кода.
источник
/csrfисключение?Ограничение только ресурсами, связанными с Swagger:
.antMatchers("/v2/api-docs", "/swagger-resources/**", "/swagger-ui.html", "/webjars/springfox-swagger-ui/**");источник
Вот полное решение для Swagger с Spring Security . Вероятно, мы хотим включить Swagger только в нашей среде разработки и контроля качества и отключить его в производственной среде. Итак, я использую свойство (
prop.swagger.enabled) в качестве флага для обхода аутентификации безопасности Spring для swagger-ui только в среде разработки / qa.@Configuration @EnableSwagger2 public class SwaggerConfiguration extends WebSecurityConfigurerAdapter implements WebMvcConfigurer { @Value("${prop.swagger.enabled:false}") private boolean enableSwagger; @Bean public Docket SwaggerConfig() { return new Docket(DocumentationType.SWAGGER_2) .enable(enableSwagger) .select() .apis(RequestHandlerSelectors.basePackage("com.your.controller")) .paths(PathSelectors.any()) .build(); } @Override public void configure(WebSecurity web) throws Exception { if (enableSwagger) web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/security", "/swagger-ui.html", "/webjars/**"); } @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { if (enableSwagger) { registry.addResourceHandler("swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/"); registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/"); } } }источник
Я использую Spring Boot 5. У меня есть этот контроллер, который должен вызывать неаутентифицированный пользователь.
//Builds a form to send to devices @RequestMapping(value = "/{id}/ViewFormit", method = RequestMethod.GET) @ResponseBody String doFormIT(@PathVariable String id) { try { //Get a list of forms applicable to the current user FormService parent = new FormService();Вот что я сделал в настройке.
@Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers( "/registration**", "/{^[\\\\d]$}/ViewFormit",Надеюсь это поможет....
источник
Учитывая, что все ваши запросы API, расположенные с шаблоном URL-адреса,
/api/..вы можете сказать Spring, чтобы защитить только этот шаблон URL-адреса, используя конфигурацию ниже. Это означает, что вы говорите Spring, что нужно обезопасить, а не что игнорировать.@Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll() .and() .httpBasic().and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); }источник