swagger配置使用及安全方案

最新推荐文章于 2024-05-20 09:49:17 发布
最新推荐文章于 2024-05-20 09:49:17 发布
阅读量6.9k 收藏 6
点赞数 4
文章标签: 安全 spring java swagger2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429436/article/details/121019357
版权

1.swagger的依赖

pom依赖,这是针对swagger2的

<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.9.2</version>
</dependency>
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.9.2</version>
</dependency>

pom依赖,这是针对swagger3的

<dependency>
    <groupId>org.springdoc</groupId>
    <artifactId>springdoc-openapi-ui</artifactId>
    <version>1.2.31</version>
</dependency>

2.swagger配置

swagger2配置需要添加两个注解,包括@EnableSwagger2和@Configuration

 此处需要留意,如果项目是基于springmvc,需要手动添加配置注册swagger,帮助mvc找到swagger-ui.html对应的文件

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");
        registry.addResourceHandler("swagger-ui.html")
                .addResourceLocations("classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");
    }
}

 swagger3配置需要添加一个配置类

上图中涉及了三个子对象,起到的作用不同:

components主要是用于配置用户的token认证校验 Components对象里面包含Map<String, SecurityScheme>结构的securitySchemes对象

public OpenAPI components(Components components) {
    this.components = components;
    return this;
}

// 1.1.securitySchemes对象包含key和SecurityScheme对象,SecurityScheme对象里面包含type,name,in,description等参数字段
public Components addSecuritySchemes(String key, SecurityScheme securitySchemesItem) {
    if (this.securitySchemes == null) {
       this.securitySchemes = new LinkedHashMap();
    }
    this.securitySchemes.put(key, securitySchemesItem);
    return this;
}

 info主要用于swagger页面的标题和版本确认,Info对象包含title,version和description字段

public OpenAPI info(Info info) {
    this.info = info;
    return this;
}

externalDocs用于标题下面的链接,ExternalDocumentation内部又包含description和url字段

public OpenAPI externalDocs(ExternalDocumentation externalDocs) {
    this.externalDocs = externalDocs;
    return this;
}

3.启动类配置,无论是swagger2还是swagger3,都需要配置

如果项目不存在springMVC配置,仍然报404,肯定是接口地址有问题,例如本项目中,路由地址添加了context-path,如果添加了也要用contact拼接上去

ps:此处要特别注意,如果启动成功,但swagger报404,肯定是接口地址有问题,例如本项目中,路由地址添加了context-path

4.安全问题---解决方案

项目在进行安全扫描时,swagger是很容易收到安全攻击的,因此需要设计一套针对与swagger的安全访问权限,如test表示test环境可以被访问,其他环境不可以被访问

如上图所示,@Profile和@EnableSwaggerBootstrapUI都能够配置swagger访问权限。二者单一使用即可,如需组合使用,需要注意注解的顺序

二者比较而言,@Profile环境权限配置权限较大,故需要注意注解的顺序

@Profile({"test"})//环境权限配置,该权限较大,无论如何都会优先执行第一个权限
@EnableSwaggerBootstrapUI

当使用@EnableSwaggerBootstrapUI注解时,需要在yml文件中配置swagger的访问账号密码

swagger:
#  不可设置为true,否则将屏蔽所有资源
  production: false
  basic:
    enable: true
    username: root
    password: 123456

如上图所示采用组合方式的权限访问,首先确认环境是否正确,再确认密码正确,全部正确才可以进入访问。如果环境校验不通过,则不会出现输入密码的场景

chatty 陈
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Swagger正确打开方式(二)安全访问
bihaiyanyu的专栏
11-26 1万+
安全访问主要分以下两种: 1.环境的安全隔离。swagger基本上把项目所有的请求接口都罗列出了,而且支持接口在线调试,所以线上环境不应该开启swagger接口功能,试想如果开启了swagger功能,哪位开发测试人员,通过swagger就可以任意访问线上接口了,这显然是不安全的。 2.接口访问权限认证。我们的很多接口都是需要登录后才能访问及操作,为了安全起见,用swagger也不能例外。 环境的安全隔离 ...
swagger 全局token设置
qq_39508627的博客
10-16 2029
Swagger是一个很方便的东东,但正常使用时,我们的接口需要登陆才能访问的。即登陆时,要传一个登陆后的token才能访问的。 那这个怎么设置,才可以让所有接口都允许登陆后访问呢。 解决办法如下: @EnableSwagger2 @Configuration public class SwggerConfig { @Bean public Docket createRestApi() { return new Docket(DocumentationType.SWAGGE
swagger配置使用及自定义安全方案securitySchemes
weixin_61607152的博客
01-24 1183
swagger配置使用及自定义安全方案securitySchemes
Swagger2源码级教学】06统一认证
m0_55659498的博客
09-17 1772
​ 当我们需要用户带着token访问我的的接口时,Swagger2通过配置统一认证可以实现全局token认证。​ 我们继续关注Docket里面的方法,我们需要通过下面两个方法实现全局token认证,先看代码。​​。
Swagger 3.0使用介绍
最新发布
Java毕设项目分享
05-20 589
Swagger 是一套基于 OpenAPI 规范(OpenAPI Specification,OAS)构建的开源工具,后来成为了 Open API 标准的主要定义者,现在最新的版本为17年发布的 Swagger3(Open Api3)。国内绝大部分人还在用过时的swagger2(17年停止维护并更名为swagger3) 对于 Rest API 来说很重要的一部分内容就是文档,Swagger 为我们提供了一套通过代码和注解自动生成文档的方法,这一点对于保证API 文档的及时性将有很大的帮助。
1分钟搭建swagger3好看实用接口文档
qq_33251927的博客
06-16 871
1分钟搭建swagger3好看实用接口文档
Swagger 3.0 官方教材出炉,野生的可以扔了!
开发者技术前线-DevolperFront
10-25 1217
点击“开发者技术前线”,选择“星标????”让一部分开发者看到未来链接:blog.csdn.net/wangzhihao1994/article/details/108408420开始之...
SpringBoot+Security+Swagger2配置
互联网编程爱好者
11-09 4353
SpringBoot+Security+Swagger2配置 前言:本来想用Swagger3呢,但是找了好久都没有找到Swagger3的文档,百度也搜不到。这里说的是添加security的登录、登出配置。所以就借用了网上的部分代码做的 首先在pom.xml中添加swagger2的坐标 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2&l
基于SwaggerSwaggeropenapi30规范通过配置SwaggerJSON生成API文档
08-14
例如,增加了更灵活的路径操作定义,支持更多类型的安全方案,引入了回调和链接对象,以及对分页和链接关系的更好处理。这些改进使得API设计更加全面和强大,能够更好地符合现代Web服务的需求。 生成API文档的过程...
java的HTTP API文档生成中间件Swagger使用教程.zip
12-13
总之,SwaggerJava后端开发提供了一套高效且直观的API文档管理方案,通过合理的注解配置,可以极大地提高开发效率并提升API的质量。开发者可以通过阅读相关教程和实践,熟练掌握Swagger使用,以提升项目的专业性...
swagger所有相关jar包
06-10
Swagger是一个流行的API开发...总结来说,SwaggerSpringfox提供了一套完整的解决方案,帮助开发者高效地设计、文档化和测试RESTful API,提升开发效率和API的质量。无论你是API的提供者还是消费者,都能从中受益。
swagger+springboot配置
09-18
swagger+spring-boot配置swagger配置restful身份验证的Token。swagger:springfox-swagger2+springfox-swagger-ui
swagger @ApiModel 返回内容注释不显示问题
11-17
1. **Swagger配置问题**:首先,确保在SpringBoot应用中正确配置Swagger。通常,你需要在主配置类或者一个专门的配置类中添加`@EnableSwagger2`注解,然后创建一个`Docket`实例,通过`apiInfo`方法来设置API的基本...
实例_aspnetcore集成Swagger并自定义登录登出功能.zip
04-10
在本文中,我们将深入探讨如何在ASP.NET Core...记住,为了提高安全性,你应该在生产环境中考虑使用安全的身份验证策略,例如OAuth2或其他现代身份验证方案。同时,对用户输入进行验证和清理,以防止潜在的安全威胁。
一文解决:Swagger API 未授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
springboot集成Swagger2,Swagger2配置token
CM_Benny的博客
08-27 392
你好
基于swagger2实现全局接口验证
m0_47333020的博客
10-21 247
@Configuration @EnableSwagger2 public class Swagger2Config { @Bean Docket docket() { return new Docket(DocumentationType.SWAGGER_2) .select() .apis(RequestHandlerSelectors.basePackage("org.javaboy.oauth2.res.
Springboot集成Swagger2及常见配置(无坑版)
冯冬冬的博客
01-16 4264
本文出自《愚公要移山》 收录于《Springboot专题》中 这种整合的文章确实已经烂大街了,写他一方面是补充我的springboot系列,另一方面确实还有一部分小伙伴没用过。最重要的是,如果你忘记了这种整合的代码。可以随时查阅。 前言 现在的开发基本上都是前后端分离,前后端交互都是通过API文档。有了API文档大家各自开发,互不干扰。 1、传统方式 传统方式是文档设计好之后,分别发给前端和后端人员。这样有个缺点,接口信息一旦变化,文档就需要重新发送给前后端人员。无法做到实时。所以浪费时间和精力。 2.
Swagger接入OAuth2认证
qq_42383970的博客
11-22 3385
1.pom依赖 在所要使用Swagger的项目引用Swagger依赖 <dependencies> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2</version> </depe
在application.yml文件中添加一些安全配置,修复 Swagger接口泄露漏洞
04-23
好的,可以的。您可以在application.yml文件中添加以下配置来修复Swagger接口泄露漏洞: ``` spring: profiles: active: dev security: ignored: - /webjars/** - /swagger-resources/** - /v2/api-docs - /configuration/security - /configuration/ui swagger-ui: supportedSubmitMethods: [] datasource: url: jdbc:mysql://localhost:3306/test?useSSL=false&serverTimezone=UTC driver-class-name: com.mysql.jdbc.Driver username: root password: root ``` 请注意,这些配置仅适用于本地测试环境。在生产环境中,您应该确保实现更加安全配置方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值