springboot security 整合swagger无法访问

最新推荐文章于 2024-07-14 07:04:52 发布
最新推荐文章于 2024-07-14 07:04:52 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: java security 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38789311/article/details/105492064
版权 
---
title: springboot2.x整合swagger + security 的问题
date: 2020-04-06 15:56:59
tags: ['spring','aop']
---

## 问题:
   当springboot2.x整合swagger的时候,没有遇到任何困难,但是当引入security的时候,问题十分严重,直接就导致swagger进入不了了,
几经折腾,才终于发现了问题。  
   期间遇到的问题:  
              1.swagger需要登录  
              2.swagger进不去,直接无法访问,进入springboot错误界面/error
              3.网上一大堆说法不一样的问题
## 问题排查
1.首先我想知道当我注册HandlerInterceptor的时候是否注册有效,再preHandle里面写一个sytem打印输出。  
2.注册有效,那么是不是.excludePathPatterns()无效呢,这个就十分难进行排查,但是这里可以采用以下代码。
```
@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        System.out.println("token验证中");
        /*StringBuffer url = request.getRequestURL();
        BufferedReader br = null;
        try {
            br = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"));
        } catch (IOException e) {
            e.printStackTrace();
        }
        String line = null;
        StringBuilder sb = new StringBuilder();
        try {
            while ((line = br.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        System.out.println("请求地址:{}, 请求参数:{}" + url + sb.toString());*/
}
```
<!--more-->
得到请求路径,这样可以帮助我们判断是否去拦截成功,那么到底是哪儿有问题呢?
## springboot 2.x 依赖spring5 所以在拦截器方面会有某些不一致的情况,下面贴出spring部分源码:
#### spring 4.x 处理Interceptor
```
/**
 * Return a handler mapping ordered at Integer.MAX_VALUE-1 with mapped
 * resource handlers. To configure resource handling, override
 * {@link #addResourceHandlers}.
 */
@Bean
public HandlerMapping resourceHandlerMapping() {
    ResourceHandlerRegistry registry = new ResourceHandlerRegistry(this.applicationContext,
                this.servletContext, mvcContentNegotiationManager());
    addResourceHandlers(registry);

    AbstractHandlerMapping handlerMapping = registry.getHandlerMapping();
    if (handlerMapping != null) {
        handlerMapping.setPathMatcher(mvcPathMatcher());
        handlerMapping.setUrlPathHelper(mvcUrlPathHelper());
        // 此处固定添加了一个Interceptor
        handlerMapping.setInterceptors(new ResourceUrlProviderExposingInterceptor(mvcResourceUrlProvider()));
        handlerMapping.setCorsConfigurations(getCorsConfigurations());
        }
    else {
        handlerMapping = new EmptyHandlerMapping();
    }
    return handlerMapping;
}
```
### spring 5.x处理Interceptor
```
/**
 * Return a handler mapping ordered at Integer.MAX_VALUE-1 with mapped
 * resource handlers. To configure resource handling, override
 * {@link #addResourceHandlers}.
 */
@Bean
public HandlerMapping resourceHandlerMapping() {
    Assert.state(this.applicationContext != null, "No ApplicationContext set");
    Assert.state(this.servletContext != null, "No ServletContext set");

    ResourceHandlerRegistry registry = new ResourceHandlerRegistry(this.applicationContext,
                this.servletContext, mvcContentNegotiationManager(), mvcUrlPathHelper());
    addResourceHandlers(registry);

    AbstractHandlerMapping handlerMapping = registry.getHandlerMapping();
    if (handlerMapping != null) {
        handlerMapping.setPathMatcher(mvcPathMatcher());
        handlerMapping.setUrlPathHelper(mvcUrlPathHelper());
        // 此处是将所有的HandlerInterceptor都添加了(包含自定义的HandlerInterceptor)
        handlerMapping.setInterceptors(getInterceptors());
        handlerMapping.setCorsConfigurations(getCorsConfigurations());
    }
    else {
        handlerMapping = new EmptyHandlerMapping();
    }
    return handlerMapping;
}

/**
 * Provide access to the shared handler interceptors used to configure
 * {@link HandlerMapping} instances with. This method cannot be overridden,
 * use {@link #addInterceptors(InterceptorRegistry)} instead.
 */
protected final Object[] getInterceptors() {
    if (this.interceptors == null) {
        InterceptorRegistry registry = new InterceptorRegistry();
        // 此处传入新new的registry对象,在配置类当中设置自定义的HandlerInterceptor后即可获取到
        addInterceptors(registry);
        registry.addInterceptor(new ConversionServiceExposingInterceptor(mvcConversionService()));
        registry.addInterceptor(new ResourceUrlProviderExposingInterceptor(mvcResourceUrlProvider()));
        this.interceptors = registry.getInterceptors();
    }
    return this.interceptors.toArray();
}
```
## 从spring5源码可以看出,这里可以直接这样配置,这里根据自己的需求进行更改:
```
package com.hyfj.soft.springbootdemo.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.web.cors.CorsUtils;

/**
 * 安全配置类
 * @author cayden
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 配置安全
     * */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/needLogin")
                .loginProcessingUrl("/login").permitAll()
                .and()
                .authorizeRequests()
                // 授权不需要登录权限的URL
                .antMatchers("/needLogin",
                        "/swagger*//**",
                        "/v2/api-docs",
                        "/webjars*//**").permitAll()
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll().
                and().exceptionHandling().
                and().cors().and().csrf().disable();
    }
}

```

## 问题解决!
cayden_cheng
关注
专栏目录
SpringBoot2.x系列教程(五十二)Spring Boot基于SpringSecurity设置swagger2访问权限
程序新视界
03-23 4800
前面我们学习了Spring Boot集成swagger2的具体操作,但swagger2默认是没有权限控制的,也就是说如果是在内网行好,要是在公网上使用,那么对应接口文档信息将出现安全问题。 这篇文章我们就结合SpringBootSpringSecurity来进行设置,让通过swagger2生成的接口文档也拥有访问权限,并且不影响其他业务的正常使用。 SpringSecurity 目前Web开发常...
Spring security5 集成swagger2 无法访问的问题。
qq_28021299的博客
11-16 1943
主要还是springsecurityswagger需要访问的URL被拦截,不只是swagger-ui.html这个URL 查找网上的解决方案没一个好用的,然后自己在跳转重定向的方法里打印了引发跳转的URL,一个一个试出来的老铁。累屁了。 话不多说,放图,配置security配置类即可 成功: 完整配置类代码: package com.lw.bpczy.security.c...
spring boot整合security后,swagger打不开, 显示请确保资源接口正确
热门推荐
意田天的博客
10-28 1万+
1.检查swagger的jar包版本号 如果springfox 2.5及以上, 需要使用一下方式放行swagger /** * 配置无需登陆就可以访问的路径 * * @param web * @throws Exception */ @Override public void configure(WebSecurity web) throws Exception { //allow Swagger URL to be acc
解决spring boot中使用拦截器导致swagger文档无法访问
最新发布
蒾酒的博客
07-14 981
通常也会使用拦截器来做登录鉴权、接口限流等操作,但是使用拦截器会导致swagger接口文档的访问被拦截,导致无法正常访问。这个问题解决起来非常简单,只需要配置一下拦截器放行路径,把swagger相关的所有资源访问都放行即可。我们的spring boot项目通常会使用接口文档管理依赖如knife4j(swagger3)放行后swagger文档就能正常访问了。
Spring boot 添加Spring Security导致Swagger无法打开
编程愣头青
02-06 841
只需要发行一下swagger页面以及静态资源就可以了 @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/swagger-ui.html") .antMatchers( "/swagger-resources/**") .antMatchers("/v2/api-docs"
Spring SecuritySpring Security 解决swagger无法访问
batman
12-14 1万+
由于加上了security,访问swagger就会出现下面这个问题,这是由于对每个到达系统的http请求链接进行校验,有的连接需要暴露出来 1.解决方法 1.1 排除拦截 将swagger的访问路径,给排除掉,这样就解决了。 @Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true...
Spring Boot整合Security+Swagger2踩坑记录,Swagger2无法访问首页
街角有人祝福,巷口有人哭~
07-08 2362
问题: 访问不了Swagger的页面 有可能出现的原因: 1.Security将访问拦截掉了 2.给拦截器拦截了 3.Swagger返回的结果,被自己定义的拦截器or其他方式给篡改了数据,导致无法正常显示,也就无法得到想要的结果 解决: 1.放开访问 //忽略swagger访问权限限制 .antMatchers( "/userlogin", ..
SpringBoot 2 (Security整合 Swagger 3 步骤及问题详解
成长笔记
07-29 3269
引入pom依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-boot-starter</artifactId> <version>3.0.0</version> </dependency> Application增加@EnableOpenApi注解 Swagger3Config配置 @Co
springboot + spring security + swagger 整合
不要总是等明天再开始
05-21 9217
springboot整合 spring securityswagger-ui : pom.xml文件中添加相关依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> .
springboot - 2.7.3版本 - (三)整合Swagger3
09-22
SpringBoot项目中整合Swagger3,可以实现自动化接口文档的生成,为团队协作提供便利。 首先,整合Swagger3需要引入相应的依赖。在SpringBoot的`pom.xml`文件中,添加`springdoc-openapi-ui`和`springdoc-openapi-...
Springboot+Spring Security+Swagger3.0:完美整合
一叶一菩提的博客
03-24 1681
是不是因为这个报错进来的 Unable to infer base url. This is common when using dynamic servlet registration or when the API is behind an API Gateway. The base url is the root of where all the swagger resources are served. For e.g. if the api is available at http://e
Spring Security+Spring Boot 无法访问静态资源 401-跨域问题解决
weixin_43404791的博客
03-10 2346
401告诉我没有权限,一开始我还以为时静态资源没有开放 package cn.hcnet2006.blog.hcnetwebsite.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import or...
SpringBoot项目,无法访问任意接口报错401
weixin_43120613的博客
12-16 1621
背景是,我本来项目快做完了,接口之前都测过,没问题,周一过来跑项目的时候突然报错,服务器有问题,大概是redis什么包没有配置,无法扫描到,我改了半天也没找到问题,于是我把pom文件里一些依赖删了,项目能成功跑起来了,但是用postman测试接口的时候,连不上接口,返回401. 我在别的帖子里看到类似问题,但我试了不管用,不过给我启发了,于是我解决了自己的问题,先把人家问题的链接贴上来,有可能有朋...
swagger3介入springboot访问不到的问题
wenquan19960602的博客
09-06 271
swaggerspringboot的兼容和问题解决
swaggerspring securityswagger和knife4j集成 无法访问 返回结果没有内容
孟秋与你的博客
01-31 5239
作为一个强迫症重度的程序猿 不想多导一个jar包, 本文创作背景是鉴于网上大多数是旧版本swagger2的教程,且没有针对2和3区别描述,话不多说 直接步入正题。
spring boot 加入拦截器后swagger不能访问(亲测有效)
玲珑骰子安红豆,入骨相思知不知
04-29 5279
前言 想让项目中所有请求都必须携带权限认证信息才能请求,所以给项目配置了拦截器,配置完拦截器之后发现swagger地址访问不了了,没有加之前是可以正常访问的。 不能访问的原因 小编分析了一下原因,拦截器要求所有请求(如get,post)都携带认证信息请求,但是swagger地址打开的时候默认是以get方式请求的,这个时候并不没有权限认证信息携带着,所以被拦截器给拦截了。既然这样那我是不是就可以把s...
前后分离之后SpringBoot+SpringSecurity放行Swagger访问后,security跨域配置失效的问题
Linch的博客
04-22 1万+
问题背景: 项目用的swagger生成的接口文档,同时也有security权限验证,为了方便后端自己测试,所以接口测试直接访问swagger; 但是security如果没有放行swagger的话,本地是访问不到swagger的,同时前端要访问后端接口,也有跨域问题; Security没有放行swagger访问的时候,用swagger请求接口会报错: 我这样配置SecurityC...
swagger打不开】【SpringCloud项目】【security
weixin_40827685的博客
04-24 890
问题描述: 问题背景: Spring Cloud项目(但这个问题的发生和 是Cloud还是Boot 没关系), 增加了spring security(Oauth2) 封装了返回数据的格式 问题现象: 配置swagger后,发现ui无法打开,但是v2/api-docs文件还可以被返回。 api-doc文件的json格式外又多包裹了一层。 查看console发现某些文件被拦截了 问题解决: 尝试过的对本项目无效的解决办法: 将swagger版本从2.9.2 -> 2.7...
解决SpringSecurity Oauth2允许swagger-ui访问 无效的问题(横线问题)
u012496112的博客
09-28 1266
public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { ///所有请求必须认证通过 http.authorizeRequests() //下边的路径放行 .antMatche...
springboot2.7.8 整合swagger 2.9.2,需要整合token
04-05
为了在Swagger中添加token,可以使用Spring Security来保护API并生成token。以下是如何在Spring Boot应用程序中使用SwaggerSpring Security整合token的步骤: 1. 添加Spring Security和JWT依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> ``` 2. 创建Spring Security配置类 创建一个类,继承WebSecurityConfigurerAdapter并重写configure(HttpSecurity http)方法。在该方法中,配置Spring Security以保护API并生成token。以下是一个示例: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 3. 创建JWT工具类 创建一个类,用于生成和解析JWT token。以下是一个示例: ``` @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private int expiration; public String generateToken(Authentication authentication) { UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal(); Date now = new Date(); Date expiryDate = new Date(now.getTime() + expiration); return Jwts.builder() .setSubject(userPrincipal.getUsername()) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getSubject(); } public boolean validateToken(String authToken) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(authToken); return true; } catch (SignatureException ex) { log.error("Invalid JWT signature"); } catch (MalformedJwtException ex) { log.error("Invalid JWT token"); } catch (ExpiredJwtException ex) { log.error("Expired JWT token"); } catch (UnsupportedJwtException ex) { log.error("Unsupported JWT token"); } catch (IllegalArgumentException ex) { log.error("JWT claims string is empty"); } return false; } } ``` 4. 创建JWT认证过滤器 创建一个类,用于验证token并将用户信息添加到Spring Security上下文中。以下是一个示例: ``` public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = getJwtFromRequest(request); if (StringUtils.hasText(jwt) && jwtUtils.validateToken(jwt)) { String username = jwtUtils.getUsernameFromToken(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception ex) { log.error("Could not set user authentication in security context", ex); } filterChain.doFilter(request, response); } private String getJwtFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 5. 在Swagger中添加token 在Spring Boot应用程序中添加Swagger,并在Swagger配置类中添加以下代码: ``` @Configuration @EnableSwagger2 public class SwaggerConfig { @Autowired private JwtUtils jwtUtils; @Bean public Docket api() { return new Docket(DocumentationType.SWAGGER_2) .securityContexts(Arrays.asList(securityContext())) .securitySchemes(Arrays.asList(apiKey())) .select() .apis(RequestHandlerSelectors.any()) .paths(PathSelectors.any()) .build(); } private ApiKey apiKey() { return new ApiKey("JWT", "Authorization", "header"); } private SecurityContext securityContext() { return SecurityContext.builder() .securityReferences(Arrays.asList(new SecurityReference("JWT", new AuthorizationScope[]{}))) .forPaths(PathSelectors.any()) .build(); } @Bean public SecurityConfiguration security() { return SecurityConfigurationBuilder.builder() .clientId(null) .clientSecret(null) .realm(null) .appName(null) .scopeSeparator(",") .additionalQueryStringParams(null) .useBasicAuthenticationWithAccessCodeGrant(false) .build(); } @Bean public UiConfiguration uiConfig() { return UiConfigurationBuilder.builder() .displayRequestDuration(true) .validatorUrl("") .build(); } @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("swagger-ui.html") .addResourceLocations("classpath:/META-INF/resources/"); registry.addResourceHandler("/webjars/**") .addResourceLocations("classpath:/META-INF/resources/webjars/"); } @Bean public SecurityConfiguration securityConfiguration() { return SecurityConfigurationBuilder.builder() .clientId("test-app-client-id") .clientSecret("test-app-client-secret") .realm("test-app-realm") .appName("test-app") .scopeSeparator(",") .additionalQueryStringParams(null) .useBasicAuthenticationWithAccessCodeGrant(false) .build(); } @Bean public SecurityConfiguration securityConfiguration() { return SecurityConfigurationBuilder.builder() .clientId("test-app-client-id") .clientSecret("test-app-client-secret") .realm("test-app-realm") .appName("test-app") .scopeSeparator(",") .additionalQueryStringParams(null) .useBasicAuthenticationWithAccessCodeGrant(false) .build(); } @Bean public OAuth securitySchema() { List<AuthorizationScope> authorizationScopeList = new ArrayList<>(); authorizationScopeList.add(new AuthorizationScope("read", "read all")); authorizationScopeList.add(new AuthorizationScope("write", "access all")); List<GrantType> grantTypes = new ArrayList<>(); GrantType passwordCredentialsGrant = new ResourceOwnerPasswordCredentialsGrant("http://localhost:8080/auth/token"); grantTypes.add(passwordCredentialsGrant); return new OAuth("oauth2schema", authorizationScopeList, grantTypes); } @Bean public SecurityConfiguration securityInfo() { return new SecurityConfiguration( "test-app-client-id", "test-app-client-secret", "test-app-realm", "test-app", "", ApiKeyVehicle.HEADER, "Authorization", "," ); } @Bean public SecurityConfiguration security() { return SecurityConfigurationBuilder.builder() .clientId("test-app-client-id") .clientSecret("test-app-client-secret") .realm("test-app-realm") .appName("test-app") .scopeSeparator(",") .additionalQueryStringParams(null) .useBasicAuthenticationWithAccessCodeGrant(false) .build(); } @Bean public UiConfiguration uiConfiguration() { return new UiConfiguration( null, "none", "alpha", "schema", UiConfiguration.Constants.DEFAULT_SUBMIT_METHODS, false, true, 60000L ); } } ``` 完成以上步骤后,您就可以在Swagger中使用token来访问受保护的API了。在Swagger界面的右上方,单击“Authorize”按钮并输入您的token即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值