Swagger 线上文档授权的几种方式

已于 2023-06-08 17:56:58 修改
阅读量4.2k 收藏 6
点赞数 8
分类专栏: swagger 文章标签: java
于 2023-06-07 15:51:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38045727/article/details/131088038
版权

目录

一、前言

二、配置swagger开关

2.1、配置文件

2.2、配置SwaggerConfig

三、按ip授权

3.1、新增一个拦截器

3.2、使用拦截器

3.3、验证

一、前言

Swagger方便开发和联调,同时也会存在接口安全问题。所以在生产环境是禁止开放Swagger的,或者更严格一点,SIT、UAT都必须授权访问,Swagger安全方式通常有几种:

  1. 在Swagger接口中添加认证授权机制,例如JWT令牌和OAuth2.0认证。参考:https://www.jianshu.com/p/431eb71bd79e

  2. 使用Spring Security框架进行安全管理,针对Swagger接口添加相应的权限配置和拦截器。

  3. 进行IP访问控制,只允许特定的IP地址访问Swagger接口。

  4. 对Swagger接口进行加密,例如使用SSL证书或TLS协议进行数据加密传输。

  5. 使用HTTPS协议访问Swagger接口,以防止中间人攻击和窃取数据。

我个人是偏向第3种,配置一下ip地址就可以了

二、配置swagger开关

2.1、配置文件

在application-prod.properties添加

swagger.enable=false

2.2、配置SwaggerConfig

在SwaggerConfig加上注解@ConditionalOnProperty

@ConditionalOnProperty(name = "swagger.enable", havingValue = "true")
public class SwaggerConfig {

这样prod环境就不会显示swagger了

三、按ip授权

3.1、新增一个拦截器

工具类,这里我当它父类使用,用于返回json信息

public class CommonTokenHandler {

    /**
     * 返回错误信息
     * @param httpResponse
     * @param status
     * @param msg
     * @param request
     * @throws Exception
     */
    public void setReturn(HttpServletResponse httpResponse, int status, String msg, HttpServletRequest request) throws Exception {
        PrintWriter writer = null;
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Origin", request.getAttribute("Access-Control-Allow-Origin") == null?null:request.getAttribute("Access-Control-Allow-Origin").toString());
        //UTF-8编码
        httpResponse.setCharacterEncoding("UTF-8");
        httpResponse.setContentType("application/json;charset=utf-8");
        Map<String, Object> result = new HashMap<>();
        result.put("code", status);
        result.put("msg", msg);
        JSONObject jsonObject = new JSONObject(result);
        String json = jsonObject.toString();
        try {
            writer = httpResponse.getWriter();
            writer.print(json);
        } catch (Exception ex) {
            ex.printStackTrace();
        } finally {
            if (writer != null){
                writer.close();
            }
        }
    }

}

拦截器继承CommonTokenHandler

@Component
@Slf4j
public class SwaggerHandler extends CommonTokenHandler implements HandlerInterceptor {

    @Autowired
    private RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String requestURI = request.getRequestURI();
        log.info("requestURI = {}", requestURI);
        String ipAddr = IpUtils.getIpAddr(request);
        log.info("请求IP....{}", ipAddr);
        if (Objects.toString(ipAddr).equals("127.0.0.1")) {
            return true;
        }
        // 这里是自定义redis的key
        Object key = redisUtil.get(RedisKeyUtil.swaggerIP());
        if (key == null || !key.toString().contains(ipAddr)) {
            String msg = "您的IP" + ipAddr + "没有访问swagger的权限,请先配置!";
            log.info(msg);
            setReturn( response, 7002, msg, request);
            return false;
        }
        return true;
    }
}

ip工具类

public class IpUtils {
    public static String getIpAddr(HttpServletRequest request) {

        String ip = null;
        if (request != null) {
            // X-Forwarded-For:Squid 服务代理
            String ipAddresses = request.getHeader("X-Forwarded-For");
            if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
                // Proxy-Client-IP:apache 服务代理
                ipAddresses = request.getHeader("Proxy-Client-IP");
            }
            if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
                // WL-Proxy-Client-IP:weblogic 服务代理
                ipAddresses = request.getHeader("WL-Proxy-Client-IP");
            }
            if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
                // HTTP_CLIENT_IP:有些代理服务器
                ipAddresses = request.getHeader("HTTP_CLIENT_IP");
            }
            if (ipAddresses == null || ipAddresses.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
                // X-Real-IP:nginx服务代理
                ipAddresses = request.getHeader("X-Real-IP");
            }

            // 有些网络通过多层代理,那么获取到的ip就会有多个,一般都是通过逗号(,)分割开来,并且第一个ip为客户端的真实IP
            if (ipAddresses != null && ipAddresses.length() != 0) {
                ip = ipAddresses.split(",")[0];
            }

            // 还是不能获取到,最后再通过request.getRemoteAddr();获取
            if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ipAddresses)) {
                ip = request.getRemoteAddr();
            }
            return ip.equals("0:0:0:0:0:0:0:1") ? "127.0.0.1" : ip;
        }
        return null;
    }
}

3.2、使用拦截器

新增拦截器配置类MyWebAppConfigurer,将swaggerHandler添加到拦截器链,对doc.html、swagger-ui.html同时拦截

@Configuration
@AutoConfigureOrder(-1)
public class MyWebAppConfigurer implements WebMvcConfigurer {



    @Autowired
    private SwaggerHandler swaggerHandler;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 多个拦截器组成一个拦截器链
        // addPathPatterns 用于添加拦截规则
        // excludePathPatterns 用户排除拦截
        registry.addInterceptor(swaggerHandler).addPathPatterns("/**/doc.html/**", "/**/swagger-ui.html/**","/swagger-resources/**","/swagger-ui/**");
    }

    /**
     * 修改StringHttpMessageConverter默认配置
     *
     * @param converters
     */
    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {

    }

}

3.3、验证

未放行之前

 

添加放行ip

再次验证

 

 

高佬林
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Swagger正确打开方式(二)安全访问
bihaiyanyu的专栏
11-26 1万+
安全访问主要分以下两种: 1.环境的安全隔离。swagger基本上把项目所有的请求接口都罗列出了,而且支持接口在线调试,所以线上环境不应该开启swagger接口功能,试想如果开启了swagger功能,哪位开发测试人员,通过swagger就可以任意访问线上接口了,这显然是不安全的。 2.接口访问权限认证。我们的很多接口都是需要登录后才能访问及操作,为了安全起见,用swagger也不能例外。 环境的安全隔离 ...
SpringBoot集成Swagger使用SpringSecurity控制访问权限
m0_73311735的博客
05-10 1247
本文主要介绍了如何在Spring Boot项目中使用Swagger,并且解决了使用Spring Security时访问Swagger资源被拦截的问题。首先,我们需要在pom.xml中添加SwaggerSwagger UI的依赖。然后,在配置类中使用启用Swagger,并通过@Bean注解创建一个Docket对象来配置Swagger,包括文档说明和扫描的包路径等。在使用Spring Security的项目中,由于默认情况下Spring Security会对所有资源进行保护,因此我们需要通过类的。
swagger访问路径
最新发布
zhangxu1998lq的博客
06-27 2389
如果你在使用Swagger时集成了Knife4j(一个增强版的Swagger UI)对于Swagger 3.x版本(也称为OpenAPI 3)是你的应用上下文路径,如果应用部署在根路径下,则为空。是你的应用服务端口,通常为8080。是你的服务器IP地址。
swagger接口需要权限验证解决方案
ybb_ymm的专栏
03-15 1万+
背景:当我们在使用swagger的情况下,经常会遇到需要授权或者请求带有token才可以访问接口,这里我们就是解决授权问题。 废话不多说,我们直接给出解决方案,具体代码如下: import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import springfox.documentation.builders.ApiInfoBuild
SpringBoot集成Swagger3接口文档及添加Authorization授权
dengdaijc的专栏
12-12 1万+
SpringBoot集成swagger3接口文档,支持oauth授权测试接口。
详细解决:Swagger API 未授权访问漏洞问题
weixin_71807218的博客
03-16 7611
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
如何使用Swagger为.NET Core 3.0应用添加JWT授权说明文档
weixin_33008495的博客
10-30 1169
简介 本教程采用WHY-WHAT-HOW黄金圈思维模式编写,黄金圈法则强调的是从WHY为什么学,到WHAT学到什么,再到HOW如何学。从模糊到清晰的学习模式。大家的时间都很宝贵,我们做事前先想清楚为什么要做,学完能达到什么样的目标,然后我们再考虑要达到这个目的,通过什么样的方法来实现。 尝试一些事,遭遇失败后从中学习,比什么事都不做更好。—马克.佐克伯 为什么要学? 对于开发人员来说,*调...
一文解决:Swagger API 未授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
在SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 8352
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
ASP.NET Core 同时支持多种认证方式 | Swagger 支持
寒冰屋的专栏
08-30 995
上次,我们实现了《ASP.NET Core 同时支持多种认证方式
java:springboot1.x/springboot2.x配置swagger2登录密码/设置swagger访问权限
smm的博客
04-12 1万+
java:springboot1.x/springboot2.x配置swagger2登录密码/设置swagger访问权限
swagger官方文档离线版
10-26
Swagger官方文档离线版是开发人员和团队在不依赖互联网连接的情况下查阅Swagger 2.0规范的重要资源。Swagger是一个流行的API开发工具,它基于OpenAPI Specification(以前称为Swagger specification),用于设计、...
swagger在线文档转成word文档
09-27
Swagger2提供了一个简洁的方式来定义和文档化RESTful APIs。通过添加`springfox-swagger2`和`springfox-swagger-ui`依赖,我们可以在项目中启用Swagger UI,它是一个Web界面,能够展示API的详细信息。 ```xml ...
swagger接口文档改良添加左侧菜单.rar
07-28
Swagger接口文档改良添加左侧菜单是针对API开发过程中的一个重要优化,旨在提高开发人员对API文档的使用效率。Swagger是一款流行的RESTful API文档工具,它能够自动生成、描述、测试和发现Web服务接口。通过在...
使用node生成swagger接口文档
01-08
通过这种方式Swagger可以自动解析这些注解并生成对应的接口文档。 最后,通过访问配置的`route`地址,比如`/swagger`,你就可以查看生成的Swagger界面,它提供了交互式的文档,允许你测试和验证接口。 总结来说...
swagger官方文档
10-31
swagger官方文档swagger官方文档swagger官方文档swagger官方文档swagger官方文档
Swagger中添加授权配置
星的奏鸣曲
06-24 2387
一、导入Swagger2依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.7.0</version> </dependency> <depend
Swagger UI 仅为用户暴露已授权终结点
dotNET跨平台
11-22 340
前言当需要在生产环境中提供 Swagger UI 时,我们可以通过身份验证,控制只有授权用户才能访问 Swagger UI 页面。但是我们希望更进一步,每个用户只能看到授权给他的终结点,而不会暴露其他未授权终结点信息。比如, API 提供了方法 A 和 方法 B,而对于用户 zhangsan 来说,他在 Swagger UI 页面只能看到方法 A 的说明,而不会知道方法 B 的存在。思路Swagg...
SpringBoot集成Swagger2登录功能和安全认证
zhuyu19911016520
11-22 2388
swagger2集成登录和认证功能
swagger接口文档
07-27
Swagger是一种用于描述、构建、测试和使用RESTful风格的Web服务的开源框架。它提供了一个自动生成接口文档的工具,让开发者能够清晰地了解和使用API接口。 在使用Swagger生成接口文档时,你需要进行以下几个步骤: 1. 引入Swagger依赖:在项目的构建文件中,例如pom.xml(如果是Java项目),添加Swagger的依赖项。 2. 配置Swagger注解:在你的代码中,使用Swagger提供的注解来描述API接口、请求参数、响应结果等信息。常用的注解有`@Api`用于描述接口,`@ApiOperation`用于描述接口方法,`@ApiParam`用于描述接口参数等。 3. 启用Swagger:通过配置文件或代码的方式启用Swagger,让它能够扫描和生成接口文档。一般来说,你需要配置Swagger扫描的包路径和访问路径等信息。 4. 访问接口文档:启动项目后,通过访问指定的URL就可以查看生成的接口文档了。一般情况下,Swagger会提供一个可交互的界面,展示接口的详细信息、参数说明、示例请求和响应等内容。 需要注意的是,Swagger只是一个生成接口文档的工具,它并不会自动为你生成API的实现代码。因此,在使用Swagger时,你需要自行编写接口的实现代码,并在代码中添加Swagger的注解来描述接口信息。 希望这个回答能够帮到你!如果你还有其他问题,欢迎继续提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值