swagger路径怎么设置为不曝露

最新推荐文章于 2024-07-20 03:15:23 发布
最新推荐文章于 2024-07-20 03:15:23 发布
阅读量607 收藏 8
点赞数 5
文章标签: wsagger
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyuhua_keyboard/article/details/140179408
版权

为了确保 Swagger UI 不暴露在外部访问下,可以采取以下几种方法来限制访问:

方法1:通过认证和授权限制访问

为 Swagger UI 页面设置访问控制,确保只有授权用户才能访问。

1.1 Spring Security

如果使用的是 Spring Boot,可以使用 Spring Security 来保护 Swagger UI 页面。

SecurityConfig 中配置:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/webjars/**", "/swagger-ui/**").authenticated()
            .anyRequest().permitAll()
            .and()
            .httpBasic(); // 可以选择其他认证方式,如 OAuth2
    }
}
1.2 使用 API Key 或 Token

配置 Swagger UI 使用 API Key 或 Token 进行访问。

在 Swagger 配置文件中添加 API Key 认证:

import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.service.ApiKey;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

import java.util.Collections;

@EnableSwagger2
public class SwaggerConfig {

    @Bean
    public Docket api() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.any())
                .paths(PathSelectors.any())
                .build()
                .securitySchemes(Collections.singletonList(apiKey()));
    }

    private ApiKey apiKey() {
        return new ApiKey("apiKey", "X-API-KEY", "header");
    }
}

方法2:通过配置文件进行限制

2.1 Spring Boot

application.propertiesapplication.yml 文件中配置 Swagger 的访问路径。

# application.properties
springdoc.swagger-ui.path=/hidden/swagger-ui.html

或者在 application.yml 中:

# application.yml
springdoc:
  swagger-ui:
    path: /hidden/swagger-ui.html

方法3:Nginx 或 Apache 代理服务器

在使用 Nginx 或 Apache 作为反向代理时,限制 Swagger UI 的访问。

3.1 Nginx 配置

在 Nginx 配置文件中添加访问控制:

server {
    listen 80;
    server_name yourdomain.com;

    location /webjars/swagger-ui/ {
        auth_basic "Restricted Access";
        auth_basic_user_file /etc/nginx/.htpasswd;
        proxy_pass http://localhost:8080/webjars/swagger-ui/;
    }
}
3.2 Apache 配置

在 Apache 配置文件中添加访问控制:

<VirtualHost *:80>
    ServerName yourdomain.com

    <Location /webjars/swagger-ui/>
        AuthType Basic
        AuthName "Restricted Access"
        AuthUserFile /etc/apache2/.htpasswd
        Require valid-user
        ProxyPass http://localhost:8080/webjars/swagger-ui/
        ProxyPassReverse http://localhost:8080/webjars/swagger-ui/
    </Location>
</VirtualHost>

方法4:完全禁用 Swagger UI 在生产环境

在生产环境中完全禁用 Swagger UI 以确保安全。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

@EnableSwagger2
@Configuration
public class SwaggerConfig {

    @Bean
    public Docket api() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.any())
                .paths(PathSelectors.any())
                .build()
                .enable(!isProduction()); // 根据环境变量或配置文件判断是否启用 Swagger
    }

    private boolean isProduction() {
        // 实现环境判断逻辑,例如读取环境变量或配置文件
        return "prod".equals(System.getProperty("spring.profiles.active"));
    }
}

通过这些方法,你可以有效地限制 Swagger UI 的访问,确保只有授权用户或特定环境下才能访问。选择最适合你的项目需求的方法来实现安全保护。

MonkeyKing.sun
关注
详细分析 Bladex中的swagger-resources资源未授权访问的解决方法
码农研究僧的博客
07-27 364
有如下方式,网关过滤、去除配置以及修改代码还有隐藏彩蛋(附Demo),推荐阅读
SpringBoot配置swagger不显示swagger-ui.html页面
qq_37743407的博客
11-18 1831
SpringBoot配置swagger不显示swagger-ui.html页面
swagger隐藏实体类字段_swagger基本使用
weixin_42510717的博客
01-06 7482
关于 SwaggerSwagger能成为最受欢迎的REST APIs文档生成工具之一,有以下几个原因:mSwagger 可以生成一个具有互动性的API控制台,开发者可以用来快速学习和尝试API。Swagger 可以生成客户端SDK代码用于各种不同的平台上的实现。Swagger 文件可以在许多不同的平台上从代码注释中自动生成。Swagger 有一个强大的社区,里面有许多强悍的贡献者。Sw...
java配置关闭swagger
最新发布
weixin_36858820的博客
07-20 351
科普:Java配置关闭Swagger Swagger 是一个广泛使用的 API 文档生成工具,它可以帮助开发者快速生成 RESTful API 的文档。然而,在某些情况下,我们可能需要在 Java 应用程序中关闭 Swagger。本文将介绍如何在 Java 应用程序中配置关闭 Swagger。 为什么需要关闭 Swagge...
Swagger API 信息泄露漏洞【原理扫描】 怎么修补漏洞
weixin_42596011的博客
02-09 3828
首先,你需要检查 Swagger API 中的所有信息泄露漏洞,然后按照安全性的要求进行修补和更新。其次,你应该检查 Swagger API 中的权限管理,并确保只有授权的用户才能访问 API 接口。最后,你应该定期扫描 Swagger API,以确保它们仍然处于安全状态。 ...
接口的个人理解,简单易懂
pvmsmfchcs的博客
10-13 489
1,内部接口, 在一个类中定义一个接口,那么这个类就可以通过这个接口去操作外部类的属性了和方法了。 内部接口的精髓:(1)通过继承该类中的接口,并且传入继承接口的对象,可以实现安对该类属性的修改;(2)并且进行实现,可以对对象的属性直接进行修改 预留接口是等着实现的类被调用,注意这里的被调用关系 2,继承的接口,可以用作外部利用接口去随时替换引用,例如下的例子 如果你一开始定义一个接口,把绘制功能放在接口里,然后定义类时实现这个接口,然后你只要用这个接口去引用实现它的类就行了,以后要换的话只不过是引用另一个
生产环境中禁用swagger
russle的专栏
06-09 1万+
Swagger是我们常用的API Doc工具,非常便于开发人员调试,后台和前端开发人员协作,以及对外公布API使用。如何在生产环境中禁止swagger了? 如何禁止Swagger,方法有很多,我们选择最简单实用的,也就是直接在使用@Profile注解。 项目背景介绍, 我们有三个环境dev, test, prod,我们只在dev环境中使用swagger,test和prod都禁止使用,为了体现使...
swagger 动态设置版本号_Swagger实现接口版本号管理
weixin_35719402的博客
02-11 1773
前言:使用swagger暴露对外接口时原则是每个系统在不同的迭代版本仅仅需要暴露该迭代版本的接口给外部使用,客户端不需要关心不相关的接口先来看张效果图 下面是实现代码:定义注解ApiVersion:/*** 接口版本管理注解* @author 周宁* @Date 2018-08-30 11:48*/@Retention(RetentionPolicy.RUNTIME)@Target(Element...
springboot整合swagger实现指定生成和多路径生成
bruce_gl的博客
12-09 1078
项目需要整合swagger,我就尝试了一下,整理一下方便大家也有类似的需求. 第一步:***在springboot启动类上加上@EnableSwagger2***注解,如下图: @SpringBootApplication @MapperScan({ "com.xxx.xxx.xxx.dao" }) //添加这个注解 @EnableSwagger2 public class MccplatformApplication { public static void main(Strin
swagger-ui.html暴露风险
01-30
这可能会暴露敏感信息,如接口路径、参数、请求头等。黑客可以利用这些信息来发起攻击,例如暴力破解、注入攻击等。 为了减少这种风险,可以考虑以下几种方法: 1. 在生产环境中禁用Swagger-UI.html:可以通过配置...
swagger2中,将部分接口 暴露给第三方
wangfei
09-30 2799
在完成了上述配置后,其实已经可以生产文档内容,但是这样的文档主要针对请求本身,描述的主要来源是函数的命名,对用户并不友好,我们通常需要自己增加一些说明来丰富文档内容。@ApiModel:描述一个Model的信息(一般用在请求参数无法使用@ApiImplicitParam注解进行描述的时候)@ApiResponse:用在@ApiResponses中,一般用于表达一个错误的响应信息。path:(用于restful接口)-->请求参数的获取:@PathVariable。@Api:用在类上,说明该类的作用。
隐藏Swagger和Knife4j文档的两种方法与隐藏Swagger和Knife4j文档时SpringBoot的@Profile(“xxx“)失效的解决方案
m0_61591135的博客
01-26 768
隐藏Swagger和Knife4j文档的两种方法与隐藏Swagger和Knife4j文档时SpringBoot的@Profile("xxx")失效的解决方案
Spring Boot 禁用 Swagger 的三种方式
m0_75232472的博客
04-04 2138
包含最全MySQL、Redis、Java并发编程等等面试题和答案,用于参考~
swager在生产环境不显示
shigen的博客
10-06 1239
swagger如何在生产环境不显示呢? 实际的项目环境会分 test、dev、pro等环境,但是在实际的生产环境是不需要显示这个swagger的,或者说是启用swagger。 参照网上的教程,大多是在配置文件里边直接定义一个属性,它的值为true/false来在配置文件中使用。 个人认为:配置文件应该越简洁越好,显示主要的配置信息、可读性高就好;把一切都交给spring自己来管理 方法如下 @Configuration @EnableSwagger2 public class SwaggerConfig
Swagger UI 仅为用户暴露已授权终结点
dotNET跨平台
11-22 345
前言当需要在生产环境中提供 Swagger UI 时,我们可以通过身份验证,控制只有授权用户才能访问 Swagger UI 页面。但是我们希望更进一步,每个用户只能看到授权给他的终结点,而不会暴露其他未授权终结点信息。比如, API 提供了方法 A 和 方法 B,而对于用户 zhangsan 来说,他在 Swagger UI 页面只能看到方法 A 的说明,而不会知道方法 B 的存在。思路Swagg...
Swagger API 信息泄露漏洞解决方案
热门推荐
J_com的博客
02-24 2万+
Swagger API 信息泄露漏洞解决方案
Swagger 信息泄露利用工具
qq_16224495的博客
05-09 5358
Swagger API Exploit 1.1 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code / Content-Type / Content-Length ,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易引入外网的SSRF漏洞 检测 API认证绕过漏洞 在本地监听一个Web Server,打开Swagger UI界面,供分析接口使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值