swagger-bootstrap-ui 访问权限控制

最新推荐文章于 2024-08-07 22:06:03 发布
最新推荐文章于 2024-08-07 22:06:03 发布
阅读量2.7w 收藏 25
点赞数 10
分类专栏: swagger

原文:https://blog.csdn.net/u010192145/article/details/89514376

在开发SwaggerBootstrapUi功能时,同很多开发者经常讨论的问题就是在生产环境时,屏蔽或者去除Swagger的文档很麻烦

,通常有时候我们碰到的问题如下:

系统部署生产环境时,我们想屏蔽Swagger的文档功能,不管是接口或者html文档
通常我们有时候需要生产环境部署后,又需要Swagger的文档调试功能,辅助开发者调试,但是存在安全隐患,没有对Swagger的资源接口过滤
等等
针对以上两种情况,SwaggerBootstrapUi在1.9.0的版本中加入了过滤Filter功能,如果开发者使用SpringBoot开发框架进行开发的话,只需在application.properties或者application.yml配置文件中配置相关属性即可方便的解决上面的问题,不用删除Springfox-swagger的jar包或者删除相关代码等复杂的操作,提升开发体验.

开启生产环境,屏蔽Swagger所有资源接口
目前Springfox-Swagger以及SwaggerBootstrapUi提供的资源接口包括如下:

资源    说明
/doc.html    SwaggerBootstrapUi提供的文档访问地址
/api-docs-ext    SwaggerBootstrapUi提供的增强接口地址
/swagger-resources    Springfox-Swagger提供的分组接口
/api-docs    Springfox-Swagger提供的分组实例详情接口
/swagger-ui.html    Springfox-Swagger提供的文档访问地址
/swagger-resources/configuration/ui    Springfox-Swagger提供
/swagger-resources/configuration/security    Springfox-Swagger提供
当我们部署系统到生产系统,为了接口安全,需要屏蔽所有Swagger的相关资源

如果使用SpringBoot框架,只需在application.properties或者application.yml配置文件中配置

swagger.production=true



配置此属性后,所有资源都会屏蔽输出.

效果图如下:

访问页面加权控制
不管是官方的swagger-ui.html或者doc.html,目前接口访问都是无需权限即可访问接口文档的,很多朋友以前问我能不能提供一个登陆界面的功能,开发者输入用户名和密码来控制界面的访问,只有知道用户名和密码的人才能访问此文档

做登录页控制需要有用户的概念,所以相当长一段时间都没有提供此功能

不过在1.9.0版本时,针对Swagger的资源接口,SwaggerBootstrapUi提供了简单的Basic认证功能

效果图如下:

允许开发者在配置文件中配置一个静态的用户名和密码,当对接者访问Swagger页面时,输入此配置的用户名和密码后才能访问Swagger文档页面,如果您使用SpringBoot开发,则只需在相应的application.properties或者application.yml中配置如下:

## 开启Swagger的Basic认证功能,默认是false

swagger.basic.enable=true
## Basic认证用户名
swagger.basic.username=zhangsan
## Basic认证密码
swagger.basic.password=123

主意:在自己定义的SwaggerConfig配置类中需要添加@EnableSwaggerBootstrapUI,否则基于认证的接口文档是不会生效的

如下我自己项目中的配置:

package org.niugang.security.conf;

import com.github.xiaoymin.swaggerbootstrapui.annotations.EnableSwaggerBootstrapUI;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.ParameterBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.schema.ModelRef;
import springfox.documentation.service.ApiInfo;
import springfox.documentation.service.Contact;
import springfox.documentation.service.Parameter;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

import java.util.ArrayList;
import java.util.List;

/**
 * 接口文档
 *
 * @author Created by niugang on 2018/12/28/15:10
 */
@Configuration
@EnableSwagger2
@EnableSwaggerBootstrapUI
public class SwaggerConfig {

    /**
     * 全局参数
     *
     * @return List<Parameter>
     */
    private List<Parameter> parameter() {
        List<Parameter> params = new ArrayList<>();
        params.add(new ParameterBuilder().name("token")
                .description("认证令牌")
                .modelRef(new ModelRef("string"))
                .parameterType("header")
                .required(false).build());
        return params;
    }

    @Bean
    public Docket sysApi() {
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                //Swagger UI默认显示所有接口
                .apis(RequestHandlerSelectors.basePackage("org.niugang.security"))
                .paths(PathSelectors.any())
                .build().globalOperationParameters(parameter());
    }

    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("Spring Security for Spring Boot")
                .description("201905")
                .termsOfServiceUrl("")
                .contact(new Contact("niugang", "", "niugang@xdja.com"))
                .version("1.0")
                .build();
    }

}


如果用户开启了basic认证功能,但是并未配置用户名及密码,SwaggerBootstrapUi提供了默认的用户名和密码:

admin/123321

如果您使用的是SpringMVC,则需要在web.xml中添加相应的Filter,参考如下:

<!--SwaggerBootstrapUi提供的Swagger增强功能,Filter过滤保护Swagger资源-->
  <!--生产环境Filter-->
  <filter>
    <filter-name>swaggerProductionFilter</filter-name>
    <filter-class>com.github.xiaoymin.swaggerbootstrapui.filter.ProductionSecurityFilter</filter-class>
    <init-param>
      <param-name>production</param-name>
      <param-value>false</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>swaggerProductionFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <!--Swagger资源的Basic认证保护策略-->
  <filter>
    <filter-name>swaggerSecurityBasic</filter-name>
    <filter-class>com.github.xiaoymin.swaggerbootstrapui.filter.SecurityBasicAuthFilter</filter-class>
    <!--开启basic认证-->
    <init-param>
      <param-name>enableBasicAuth</param-name>
      <param-value>true</param-value>
    </init-param>
    <!--用户名&密码-->
    <init-param>
      <param-name>userName</param-name>
      <param-value>lisi</param-value>
    </init-param>
    <init-param>
      <param-name>password</param-name>
      <param-value>123</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>swaggerSecurityBasic</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>


ProductionSecurityFilter和SecurityBasicAuthFilter只需配置一个即可

ProductionSecurityFilter:开启生产环境,屏蔽所有Swagger资源,不可访问,production配置为true时,basic认证功能不可用

SecurityBasicAuthFilter:开启HTTP Basic认证,访问Swagger资源需要提供服务端配置的用户名以及密码

                                                                               微信公众号: 

                                               

                                                                             JAVA程序猿成长之路

                          分享资源,记录程序猿成长点滴。专注于Java,Spring,SpringBoot,SpringCloud,分布式,微服务。 

JAVA程序猿成长之路
关注
专栏目录
swagger-bootstrap-ui分组的swager重写的UI
丁鱼教育官方博客
04-26 1万+
网关的地址:http://127.0.0.1:30666/doc.html 不加该插件,是自己的项目中直接:http://127.0.0.1:7074/swagger-ui.html github地址 :https://github.com/liukaixiong/Swagger-Bootstrap-UI <!--swagger--> <!--swagger--> <!--swagger--> ...
swagger-bootstrap-ui使用,接口文档输出 指定环境@Profile及No operations defined in spec处理,@Api中文展示controller名称
Be_insighted的博客
08-29 2902
swagger-bootstrap-ui使用,接口文档输出 指定环境@Profile及No operations defined in spec处理,@Api中文展示controller名称
SpringBoot 集成 Swagger-Bootstrap-UI
最新发布
zhzjn的博客
08-07 609
后来觉得它不太好用,在浏览技术网站的时候,偶然发现swagger-bootstrap-ui,于是便重构了,把swagger-bootstrap-ui整合进来,后来发现不仅仅对我们后端有帮助,主要方便我们将接口进行归类,同样对安卓小伙伴也有帮助,他们可以看这个接口文档进行联调。当初我使用swagger-boostrap-ui的时候,那个时候还是1.x版本,如今swagger-bootsrap-ui到2.x,同时也更改名字knife4j,适用场景从过去的单体到微服务。代码语言:javascript。
Swagger-Bootstrap-UI
世上哪有什么岁月静好,不过是有人替你负重前行
07-09 3785
UI增强包主要包括两大核心功能:文档说明 和 在线调试文档说明:根据Swagger的规范说明,详细列出接口文档的说明,包括接口地址、类型、请求示例、请求参数、响应示例、响应参数、响应码等信息,使用swagger-bootstrap-ui能根据该文档说明,对该接口的使用情况一目了然。
SpringBoot配置Swagger开启页面访问限制
如果相遇,那么你好哦~
07-12 940
在Spring Boot项目中配置Swagger时,开启页面访问限制通常意味着你希望控制哪些用户或角色可以访问Swagger UI文档页面。由于Swagger UI是一个静态资源,它本身并不直接支持基于角色的访问控制(RBAC)。但是,你可以通过Spring Security来间接实现这一点。
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞
招财猫_Martin 的专栏
10-08 5780
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在未授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger未进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
记录SpringBoot整合Swagger-Bootstrap-UI
Wyangcsdb的博客
03-02 264
swagger-bootstrap-uiSwagger 的增强UI 实现,使文档更友好一点儿,同时可以提供离线的md文档。自己调试的时候可视化接口文档,自动生成的。如果加上搜索功能就更好了。 文章目录引入swagger1.引入库2.配置configuration3.Controller层使用swagger注解总结 引入swagger 在pom.xml文件中引入swagger以及ui的jar包依赖 1.引入库 <dependency><!-- 文档 --> <
swagger-bootstrap-ui
05-21
6. **安全与权限**:在使用Swagger Bootstrap UI时,需要考虑到API的安全性和访问权限。可以通过配置Swagger定义文件来限制某些API的可见性和可测试性,或者集成OAuth2等安全机制,确保只有授权用户才能访问敏感API...
Spring Boot教程 | 第八篇:Spring Boot整合knife4j(swagger-bootstrap-ui)实现自动API文档
好博的博客
05-11 8896
一、简介 Spring Boot完整教程 | 主页及目录 swagger 在前后端分离的项目中,接口文档是前后端沟通联调的重要工具。一般我们后端人员会使用接口文档工具(如小幺鸡甚至Excel等)编写接口文档。对于后端开发来说,编写这个json格式的接口说明,本身也是有一定负担的工作,特别是在后面持续迭代开发的时候,往往会忽略更新这个接口说明,直接更改代码。久而久之,接口文档由于缺乏维护,也和实际项目渐行渐远,甚至失去了参考意义。(Ps:部门目前需要对外发布的接口文档以及需要特殊描述的接口仍使用工具进行
在springboot项目中如何配置Swagger Api在线文档,同时给文档访问添加权限控制
wzwsq的博客
12-10 2306
一、这里使用的是bootstrap版的API文档 二、如何在项目中配置,步骤如下 1、在pom文件中添加jar依赖 <!-- Swagger --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2</version> &
swagger-bootstrap-uiSwagger-bootstrap-uiSwagger的前端UI实现,目的是替换Swagger的默认UI实现Swagger-UI,使文档更加友好...
02-25
swagger-bootstrap-ui 该项目在GitHub上停止更新,最新代码可在gitee上获取,网址为 另请在上提及新的PR和问题 英文介绍| 介绍 Swagger-bootstrap-UI是springfox-swagger的增强型UI实现,它使Java开发人员在使用Swagger时可以获得简单而强大的界面文档体验 2.0: : 在线效果: : 项目演示: : 文件: : QQ通讯群:621154782 核 UI增强包包括两个核心功能:文档和在线调试 文档:根据Swagger的规范,列出了接口文档的详细说明,包括接口地址,类型,请求示例,请求参数,响应示例,响应参数,响应代码和其他信息。 通过使用swagger-bootstrap UI,它可以清楚地了解此接口的用法。 在线调试:提供强大的在线接口对齐功能,自动分析当前接口参数,同时包含表格验证,调用
在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 8603
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
swagger配置及升级版swagger-bootstrap-ui配置+访问账号密码登录限制
weixin_43568232的博客
10-21 7483
本文主要介绍swagger-ui及加强版swagger-bootstrap-ui配置 一:普通swagger-ui配置 1:pom添加依赖 <!--swagger--> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId>
SpringBoot集成Swagger-Bootstrap-UI
Java
01-12 2854
SpringBoot集成Swagger-Bootstrap-UI
SpringBoot集成Swagger-Bootstrap-UI,页面更清爽!
2401_83412087的博客
05-03 458
一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取![外链图片转存中…(img-TASfY4ku-1714671391608)][外链图片转存中…(img-t2aKgqn8-1714671391608)][外链图片转存中…(img-W7OKWjqO-1714671391608)]《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
springfox-swagger-uiswagger-bootstrap-ui的区别
05-05
`springfox-swagger-ui` 和 `swagger-bootstrap-ui` 都是 Swagger UI 的实现,可以帮助开发人员快速构建和测试 RESTful API 接口文档。 但它们之间的区别在于: 1. **UI 风格不同**:`springfox-swagger-ui` 风格...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值