Swagger UI 仅为用户暴露已授权终结点

最新推荐文章于 2024-02-26 23:30:30 发布
最新推荐文章于 2024-02-26 23:30:30 发布
阅读量339 收藏
点赞数
文章标签: ui json javascript 开发语言 ecmascript
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654094692&idx=4&sn=0c86d90cc4f304576d276a9239fa2223&chksm=80d86131b7afe82778b0c61e93ef675f45a781cf83b34a8b789eeaf2fa29bfaf8cde7b55506b&scene=126&&sessionid=0
版权

前言

当需要在生产环境中提供 Swagger UI 时,我们可以通过身份验证,控制只有授权用户才能访问 Swagger UI 页面。

但是我们希望更进一步,每个用户只能看到授权给他的终结点,而不会暴露其他未授权终结点信息。

比如, API 提供了方法 A 和 方法 B,而对于用户 zhangsan 来说,他在 Swagger UI 页面只能看到方法 A 的说明,而不会知道方法 B 的存在。

思路

Swagger UI 页面展示的数据来源,其实是/swagger/v1/swagger.json文件:

app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "WebApplication1 v1"));

swagger.json的格式是遵循 OpenAPI 规范的。

其中,paths定义了 API 的所有终结点:

fea115445774c3e89089d2e601490206.jpeg

那么,只需要保证swagger.json包含的paths仅定义了授权接口的终结点即可。

虽然我们不能控制swagger.json文件的生成,但是我们可以控制它如何输出到响应啊!

我们可以定义一个Middleware,实现如下功能:

  1. 判断当前请求是否swagger.json

  2. 如果是,截获原始响应,即swagger.json文件内容

  3. 创建一个新的 json 文件,遍历swagger.json所有 JSON 结点,写入到新 json 文件中

  4. 如果当前节点是paths节点下的子节点,先判断子节点名称是否是授权终结点,是则写入,否则跳过

  5. 将新 json 文件输出到响应中

实现

SwaggerEndpointsFilterMiddleware实现代码如下:

public class SwaggerEndpointsFilterMiddleware
{
    private readonly RequestDelegate _next;

    public SwaggerEndpointsFilterMiddleware(RequestDelegate next)
    {
        _next = next;
    }

    public async Task Invoke(HttpContext httpContext)
    {
        if (httpContext.Request.Path.Value != null && httpContext.Request.Path.HasValue &&
            httpContext.Request.Path.Value.Contains("swagger.json", StringComparison.InvariantCultureIgnoreCase))
        {
            var originalStream = httpContext.Response.Body;
            using (var memoryStream = new MemoryStream())
            {
                //截获原始响应,将响应内容写入 MemoryStream
                httpContext.Response.Body = memoryStream;

                await _next(httpContext);

                //获取当前用户可访问的 Endpoints
                var validEndpoints = GetValidEndpoints(httpContext.Request);

                memoryStream.Position = 0;
                using (var sr = new StreamReader(memoryStream))
                {
                    //将修改过的 json 写入响应 
                    await originalStream.WriteAsync(CreateSwaggerJson(sr.ReadToEnd(), validEndpoints));
                }
                
                httpContext.Response.Body = originalStream;
                return;
            }
        }

        await _next(httpContext);
    }
}

关键代码在CreateSwaggerJson:

private byte[] CreateSwaggerJson(string json, IEnumerable<string> validEndpoints)
{
    using (var memoryStream = new MemoryStream())
    {
        using (var utf8JsonWriter = new Utf8JsonWriter(memoryStream))
        {
            using (var jsonDocument = JsonDocument.Parse(json))
            {
                utf8JsonWriter.WriteStartObject();

                foreach (var element in jsonDocument.RootElement.EnumerateObject())
                {
                    if (element.Name == "paths")
                    {
                        utf8JsonWriter.WritePropertyName(element.Name);
                        utf8JsonWriter.WriteStartObject();

                        //遍历 paths 子节点,检查 Endpoint 是否已授权
                        foreach (var endpoint in element.Value.EnumerateObject())
                        {
                            if (validEndpoints.Contains(endpoint.Name))
                            {
                                endpoint.WriteTo(utf8JsonWriter);
                            }
                        }

                        utf8JsonWriter.WriteEndObject();
                    }
                    else
                    {
                        element.WriteTo(utf8JsonWriter);
                    }
                }

                utf8JsonWriter.WriteEndObject();
            }
        }

        return memoryStream.ToArray();
    }
}

最后,修改 Startup.cs:

app.UseMiddleware<SwaggerEndpointsFilterMiddleware>();

app.UseSwagger();
app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "WebApplication1 v1"));

e7fb4ec328a38e2ec05617714bad5164.gif

结论

今天,我们通过 Middleware 拦截swagger.json的输出,实现了 Swagger UI 仅为用户暴露已授权终结点。

添加微信号【MyIO666】,邀你加入技术交流群

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Swagger UI实战指南:涵盖API开发周期的保姆级教程
qyqzIsJavatar的博客
05-03 560
掌握Swagger,优化你的API开发过程!本文提供一站式解决方案,从Swagger的基本介绍到如何在Spring Boot中集成和使用Swagger,详尽介绍API设计、测试及文档自动化。通过实际操作指南和图片教程,帮助你快速上手,提升开发效率,保证API的高效管理和透明沟通。
配置token_Swagger配置鉴权token
weixin_39983404的博客
12-24 826
众所周知swagger在API文档生成及测试方面非常方便,但是很多的API调用都需要用到token验证,本文就介绍两中自动添加token的方法。以下的配置代码都是在swagger config类里边。对每个API都添加header字段这个方案的优是每个API测试的时候都可以分别设置token,缺是大量重复输入token字段,如果API数量众多或者写入header的字段多就很麻烦。@Bean ...
在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 7936
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
Swagger 信息泄露利用工具
qq_16224495的博客
05-09 5125
Swagger API Exploit 1.1 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用
Swagger ui接口自动化批量漏洞测试
good good study
11-16 8742
经常发现Swagger uiswagger-ui是将api接口进行可视化展示的工具)接口泄露,如下,在这个页面中暴露了目标站中所有的接口信息,所以可以对这个接口进行漏洞测试,看是否存在未授权访问、sql注入、文件上传等漏洞。
swagger接口需要权限验证解决方案
ybb_ymm的专栏
03-15 1万+
背景:当我们在使用swagger的情况下,经常会遇到需要授权或者请求带有token才可以访问接口,这里我们就是解决授权问题。 废话不多说,我们直接给出解决方案,具体代码如下: import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import springfox.documentation.builders.ApiInfoBuild
golang-swaggerui-example:Golang的SwaggerUI生成示例
05-14
golang-swaggerui-example Golang-swaggerui-example是一个示例存储库,用于在您的Golang项目中使用SwaggerUI设置API文档。...golang-swaggerui-example已获得MIT许可。 有关详细信息,请检查文件。 作者
koa2-swagger-uiSwagger UI作为Koa v2中间件
02-03
swaggerOptions : { // passed to SwaggerUi() dom_id : 'swagger-ui-container' , url : 'http://petstore.swagger.io/v2/swagger.json' , // link to swagger.json supportedSubmitMethods : [ 'get' , 'post' ...
swagger-bootstrap-ui
最新发布
05-21
3. **Swagger UI**:Swagger UISwagger生态的一部分,它读取OpenAPI规范文件,并将其转换为用户友好的网页,允许开发者查看API文档、尝试API操作并获取即时反馈。Swagger Bootstrap UI是对Swagger UI的扩展和定制...
spring boot 2整合swagger-ui过程解析
08-25
Swagger UI 是基于 Swagger 的一个用户界面,它允许用户通过浏览器直接查看、测试和操作API。以下是对整合过程的详细解析: 1. **添加 Maven 依赖** 在 `pom.xml` 文件中,你需要引入两个关键的 Springfox 库:`...
openapi-preview:使用Swagger UI预览OpenAPI规范
05-07
OpenAPI预览 使用预览OpenAPI规范 aasaam软件开发小组
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
Swagger API漏洞利用-JavaScript开发
05-26
Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接 Swagger API Exploit 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用 使用Chrome打开本地Web服务器,并禁用CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过漏洞时,本地服务器拦截API文档,修改path,以便直接在Swagger
一文解决:Swagger API 未授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
swagger添加用户登录鉴权
sorce201的博客
09-11 1818
swagger在1.9.6之后,整合成knife4j。
Swagger 线上文档授权的几种方式
weixin_38045727的博客
06-07 4071
Swagger方便开发和联调,同时也会存在接口安全问题。所以在生产环境是禁止开放Swagger的,或者更严格一,SIT、UAT都必须授权访问,Swagger安全方式通常有几种:在Swagger接口中添加认证授权机制,例如JWT令牌和OAuth2.0认证。使用Spring Security框架进行安全管理,针对Swagger接口添加相应的权限配置和拦截器。进行IP访问控制,只允许特定的IP地址访问Swagger接口。对Swagger接口进行加密,例如使用SSL证书或TLS协议进行数据加密传输。
授权漏洞
Dasdwer的博客
03-24 6618
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
swagger授权访问漏洞修复,这可能是你看到的最好的解决方案!
记录点滴
09-26 1万+
大多数人都是直接禁用swagger,这样一来就给开发人员带来了负担,因为需要解决接口文档的问题,相信大家用惯了swagger文档,都不愿意自己再去手动写接口文档了。swagger授权访问主要的路径如下,根据版本不同或者自定义的路径,可能会有一定的差异,自定义路径的只需要把自己的路径添加进来即可。通过以上方式,即解决了swagger授权访问的问题,又解决了通过token授权访问的问题!怎样才能方便的修复未授权访问的漏洞,同时又能通过验证正常访问swagger文档呢?的方式对请求进行验证,
Swagger接口泄露(脱敏获取密码)
qq_42383069的博客
12-29 1万+
Swagger接口泄露(脱敏获取密码) 1. 概述: 访问 /env 接口时,spring actuator 会将一些带有敏感关键词(如 password、secret)的属性名对应的属性值用 * 号替换达到脱敏的效果 2. 利用条件: 可正常 GET 请求目标 /heapdump 或 /actuator/heapdump 接口 3. 利用方法: 步骤一: 找到想要获取的属性名 GET 请求目标网站的 /env 或 /actuator/env 接口,搜索 ****** 关键词,找到想要获取的被星号 * 遮掩
swagger-ui.html暴露风险
01-30
当在生产环境中开启Swagger时,接口文档将会被公开,这可能会导致未经授权用户访问和了解API的细节。这可能会暴露敏感信息,如接口路径、参数、请求头等。黑客可以利用这些信息来发起攻击,例如暴力破解、注入攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值