记一次自定义拦截器拦截/v2/api-docs失效的问题排查

已于 2023-05-30 16:58:55 修改
阅读量2.9k 收藏 6
点赞数 4
文章标签: java spring 开发语言
于 2023-05-30 16:56:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50932526/article/details/130952113
版权

项目场景:

项目中使用swagger来自动生成接口文档,为了防止接口文档地址在外网被访问,需要对swagger的静态资源链接以及动态接口请求根据host属性做一些处理,使得外网域名不能访问接口文档地址。一个容易想到的办法就是通过Spring的Interceptor来实现,在preHandle方法中对swagger的请求路径做拦截。

问题描述

SwaggerInterceptor可以拦截到/swagger-ui.html请求,但是始终无法拦截/v2/api-docs接口,用户还是可以通过直接访 /v2/api-docs获取所有接口的json格式信息。

@Configuration
public class CorsConfig implements WebMvcConfigurer {


    @Bean
    public AuthInterceptor authInterceptor() {
        return new AuthInterceptor();
    }
    

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor())
                // 拦截所有请求
                .addPathPatterns("/**");
    }
}

原因分析:

首先,检查拦截器的配置,发现AuthInterceptor配置是拦截全部请求addPathPatterns(“/**”),并且可以拦截到/swagger-ui.html,确认不是拦截器全局配置的问题。

解决方案:

既然自定的HanderMapping初始化未绑定拦截器,导致拦截器失效,那我们换一种思路,通过ResponseBodyAdvice配合@ControllerAdvice注解,在请求响应体返回之前,校验请求URL,若为外网请求的Swagger路径,进行拦截。

@RestControllerAdvice
public class SwaggerAdvice implements ResponseBodyAdvice {

    private static final List<String> EXCLUDE_URL = Arrays.asList("/v2/api-docs");

    @Override
    public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
        String url = serverHttpRequest.getURI().getHost() + serverHttpRequest.getURI().getPath();
        if (EXCLUDE_URL.stream().anyMatch(item -> url.contains(item))) {
            serverHttpResponse.setStatusCode(HttpStatus.FORBIDDEN);
            throw new BusinessException("鉴权失败,该行为未授权,暂无权访问");
        }
        return o;
    }

    @Override
    public boolean supports(MethodParameter methodParameter, Class aClass) {
        return true;
    }
}

结果:

至此,可以做到拦截/v2/api-docs接口的外网请求
在这里插入图片描述

二拾三
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot /v2/api-docs 无法访问
絮落锦乡的博客
08-17 2万+
一、问题描述 springboot 整合swagger 比较简单,博主的博客中有,还没有整合的可以查阅下,swagger 有两种模式,一种是默认模式,一种是分组模式。 1、分组模式 @Bean public Docket loginApi() { return new Docket(DocumentationType.SWAGGER_2) .groupName("登录管理") .apiInfo(apiInfo()
api-docs
03-06
api-docs
springfox接口文档如何关闭
TingSty小z的博客
02-20 4553
接口文档区分生产环境和开发环境,如何通过开关控制
屏蔽swagger中的xxxxx/v2/api-docs,防止恶意攻击
最新发布
weixin_44927830的博客
04-16 734
只需要在bootstrap.yml文件中添加:springfox:
SpringMvc Swagger2集成失败:${springfox.documentation.swagger.v2.path:/v2/api-docs}
lp506954774的专栏
05-14 9267
springMvc,springFox 2.6.1 ,swagger-ui:2.6.1,用idea启动后(自动放入tomcat容器里),现象: F12查看: http://localhost:8080/agent_applications_war/swagger-resources 此接口返回值不对。首先说明一下,该接口应该返回的是swagger2提供的api地址,但实际却返回了非法字符串: ${springfox.documentation.swagger.v2.path:/v2/api
springboot + swgger遇到的坑 - 请求地址‘/v2/api-docs‘,发生未知异常.
2301_76695845的博客
07-12 2514
ERROR c.w.r.c.s.h.GlobalExceptionHandler - [handleRuntimeException,83] - 请求地址'/v2/api-docs',发生未知异常. java.lang.NullPointerException: null
SpringCloud集成swagger报错Internal Server Error http://localhost/project-service/v2/api-docs
JennyTheArtist的博客
05-11 3737
使用springcloud gateway集成swagger,访问http://localhost:网关接口/swagger-ui.html出现: 原因是网关的路由断言没有路径剥离,我只是想访问的路径少一个服务名而已: 但此时服务swagger json文件的调用路径是http://localhost:8000/v2/api-docs,如果不剥离路径,网关路由后将访问http://localhost:8000/product/v2/api-docs。 贴一个网关代码: SwaggerHandler: @
swagger API接口页面,访问的URL 中加入了 /v2/api-docs 字段
qq_30346433的博客
04-20 7391
1、我在 springboot项目中的 application.properties 配置文件中 server.servlet.context-path=/community 配置改成 erver.servlet.context-path=/community/api,导致如下情况 转存失败重新上传取消 ...
Spring Boot自定义拦截器之后静态资源无法加载的问题(第一版)
01-08
1.自定义拦截器  2. 静态资源被拦截 3.从过滤器中去除静态文件 4.静态文件404解决 5.补充一下 6.遗留问题现象 1.自定义拦截器  自定义XXInterceptor实现HandlerInterceptor接口,在发送请求之前拦截,所以在...
自定义拦截器(实现异常处理+细颗粒权限控制).zip
07-24
struts2的拦截器实现细颗粒度权限控制;struts2的拦截器实现异常处理;源代码;页面;教程
注册自定义拦截器,添加拦截路径和排除拦截路径WebAppConfig
06-22
注册自定义拦截器,添加拦截路径和排除拦截路径WebAppConfig
api-docs:API文档
03-06
Tiendanube / Nuvemshop API 这是一种REST风格的API,使用JSON进行序列化,并使用OAuth 2进行身份验证。 我从哪里开始? 想开始使用API​​集成吗? 这是一个快速检查清单: 在或注册为合作伙伴。 进入合作伙伴的管理面板后,转到“应用”部分并创建您的应用。 阅读有关通过我们您的应用的信息。 阅读API文档,以了解您可以对应用程序执行的操作。 提出请求 所有URL均以https://api.tiendanube.com/v1/{store_id}或https://api.nuvemshop.com.br/v1/{store_id}开头。 仅SSL 。 该路径以商店ID和API版本为前缀。 如果我们以向后不兼容的方式更改API,我们将破坏版本标并保持对旧URL的稳定支持。 因此,如果您想通过API访问ID为123456的商店,则URL为ht
Struts2学习教程之拦截器机制与自定义拦截器
08-27
主要给大家介绍了关于Struts2学习基础教程之拦截器机制与自定义拦截器的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java自定义拦截器用法实例
09-03
主要介绍了java自定义拦截器用法,实例分析了java自定义拦截器的实现与使用技巧,需要的朋友可以参考下
swagger :/v2/api-docs中找不到HTTP 404
Rey的博客
05-19 3362
swagger :/v2/api-docs中找不到HTTP 404 swagger :/v2/api-docs中找不到HTTP 404 描述: 新增一个模块swagger识别不到,其他模块可以用,检查过注解配置之类的没问题,找了半天一一排除,最后发现是实体类java权限字符的问题。 将private误写成public,改回来就可以了,在此做一个录。 ...
swagger关闭/v2/api-docs仍然可以访问漏洞
热门推荐
zy_crazy_code的博客
03-07 1万+
swagger、/v2/api-docs访问漏洞
网站接口api安全有漏洞如何查找并修复堵住漏洞
网站安全专家
11-17 1885
某一客户的网站,以及APP系统数据被篡改,金额被提现,导致损失惨重,漏洞无从下手,经过朋友介绍找到我们SINE安全公司,我们随即对客户的网站服务器情况进行大体了解.建议客户做渗透测试服务.模拟攻击者的手法对网站存在的数据篡改漏洞进行检测与挖掘,就此渗透测试服务的过程进行录与分享. 首先客户网站和APP的开发语言都是使用的PHP架构开发,后端使用的thinkphp开源系统,对会员进行管理以及资料...
swagger文档导出自定义v2/api-docs拦截
qq_42553504的博客
04-22 3961
controller Swagger2ControllerWebMvc package com.alipay.mychain.taas.apidoc; import io.swagger.models.Swagger; import org.junit.Test; import org.junit.runner.RunWith; import org.springframework.beans.factory.annotation.Autowired; import org.springfr.
undefined http://localhost:9601/ProductService/v2/api-docs   swagger-ui启动报错解决,结合spring-security
fwk_love的博客
01-25 2187
undefined http://localhost:9601/ProductService/v2/api-docs swagger-ui启动报错解决,结合spring-security 在application.yml中添加 /v2/api-docs, 即可解决此权限问题导致的swagger-ui打开报错
swagger关闭/v2/api-docs仍然可以访问漏洞 springboot如何通过代码动态闭
05-27
要通过代码动态关闭Swagger的/v2/api-docs端点,可以使用Spring Boot的`WebMvcConfigurer`接口来实现。您可以创建一个类,实现`WebMvcConfigurer`接口,并覆盖`addResourceHandlers`方法。在这个方法中,您可以添加一个拦截器,用于阻止对/v2/api-docs的访问。以下是一个示例代码: ``` @Configuration @EnableWebMvc public class SwaggerConfig implements WebMvcConfigurer { @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("/swagger-ui/**").addResourceLocations("classpath:/META-INF/resources/webjars/springfox-swagger-ui/") .resourceChain(false) .addResolver(new PathResourceResolver() { @Override protected Resource getResource(String resourcePath, Resource location) throws IOException { Resource requestedResource = location.createRelative(resourcePath); return requestedResource.exists() && requestedResource.isReadable() ? requestedResource : new ClassPathResource("/META-INF/resources/webjars/springfox-swagger-ui/index.html"); } }); } @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new HandlerInterceptor() { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (request.getRequestURI().equals("/v2/api-docs")) { response.setStatus(HttpServletResponse.SC_NOT_FOUND); return false; } return true; } }); } } ``` 在这个示例中,`addResourceHandlers`方法用于配置Swagger UI的资源处理器,`addInterceptors`方法用于添加一个拦截器,用于阻止对/v2/api-docs的访问。这个拦截器会检查请求的URI是否为/v2/api-docs,如果是,则返回404错误。通过这种方式,就可以在代码中动态关闭Swagger的/v2/api-docs端点了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值