Swagger怎么做免鉴权

最新推荐文章于 2023-10-08 11:49:48 发布
最新推荐文章于 2023-10-08 11:49:48 发布
阅读量1.3k 收藏 1
点赞数 3
文章标签: java 微服务 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44589398/article/details/130871372
版权

前言

Swagger在API文档生成及测试方面非常方便,但是很多的API调用都需要用到token验证,然后经过Gateway网关,鉴权验证通过之后访问业务系统。为了方便后端开发自测接口,我们可以免去鉴权吗?答案是可以的!

一般鉴权方式

我们先看看如果需要鉴权,应该怎么做呢?
可以在swagger config类里边使用 globalOperationParameters() 方法来配置全局参数token:

@Configuration
@EnableSwagger2
public class SwaggerConfig {
 
    @Bean
    public Docket api() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.example.demo.controller"))
                .paths(PathSelectors.any())
                .build()
                .globalOperationParameters(Arrays.asList(
                        new ParameterBuilder()
                                .name("token")
                                .description("授权")
                                .modelRef(new ModelRef("string"))
                                .parameterType("header")
                                .required(false)
                                .build()
                ))
                .apiInfo(apiInfo());
    }
 
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("接口文档")
                .description("接口文档")
                .version("1.0.0")
                .build();
    }
 }

也可以使用 securitySchemes() 方法来配置安全协议token:

@Configuration
@EnableSwagger2
public class SwaggerConfig {
 
    @Bean
    public Docket api() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.example.demo.controller"))
                .paths(PathSelectors.any())
                .build()
                .securitySchemes(Arrays.asList(
                        new ApiKey("Bearer", "token", "header")
                ))
                .apiInfo(apiInfo());
    }
 
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("接口文档")
                .description("接口文档")
                .version("1.0.0")
                .build();
    }
 }

请求头有了token,一般项目的话,请求发到服务端做鉴权,微服务的话,访问服务端之前,需要在Gateway鉴权,我们先了解下什么是Gateway,他的作用又是什么呢。

Gateway是什么?

官方解释Gateway微服务中必不可少的一个组件,旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式,具有参数校验、权限校验、流量监控、日志输出、协议转换、响应内容、响应头修改等功能。
微服务架构图

那我们想想,之前没有微服务的时候,这些功能不是在业务系统里面也能实现吗?为什么现在都要放在Gateway中来呢?没错,为了解耦!业务系统专注于系统本身,网关作为接收客户端请求和业务系统的中间层,这些”杂事“交给Gateway统一管理再合适不过了。

Gateway三大核心

1.Route(路由):路由是构建网关的基本模块,它由ID,目标URI,一系列的断言和过滤器组成,如果断言为true则匹配该路由
2.Predicate(断言):参考的是Java8的java.util.function.Predicate
开发人员可以匹配HTTP请求中的所有内容(例如请求头或请求参数),如果请求与断言相匹配则进行路由
3.Filter(过滤):指的是Spring框架中GatewayFilter的实例,使用过滤器,可以在请求被路由前(pre)或者之后(post)对请求进行修改,目前开放出来的过滤参数有兴趣可以了解下,https://blog.csdn.net/m0_67402096/article/details/126496872。

Gateway配置示例

###########应用配置  start###########
server:
port: 8080

spring:
  cloud:
    gateway:
      routes:
        - id: 39-base
          uri: http://10.43.117.39:8001
          predicates:
            - Path=/39/projectName/**
          filters:
            - StripPrefix=2
            - name: AddUserName
              args:
                enabled: true
                shouldSkipUrls:
                  - /v2/api-docs/**
                  - /swagger-ui.html*
                  - /webjars/**
                  - /actuator/**
                  - /swagger-resources/**
                  - /i18n/**
                  - /login-free/**
                  - /cloud-test/findPrintList*
                  - /persons/resetPassword**
                  - /cloud-test/**
                  - /t-role-apply/apsPlanPageInfo
                  - /IAM-app-user/**
                  - /flotsam/dataTransferBPMPS
                  - /qrCode/**					
###########应用配置  end###########

解读配置

现在有一个服务39-base部署在本机,地址和端口为10.43.117.39:8081,所以路由配置uri为http://10.43.117.39:8081
使用网关服务路由到此服务,predicates -Path=/39/projectName/**,网关服务的端口为8080,启动网关服务,访问10.43.117.39:8080/39/projectName,路由断言就会将请求路由到39-base。
直接访问39-base的接口10.43.117.39:8081/swagger-ui.html#/api/test,通过网关的访问地址则为10.43.117.39:8080/39/projectName/swagger-ui.html#/api/test,predicates配置将请求断言到此路由,filters-StripPrefix=1代表将地址中/后的第一个截取,所以39/projectName就截取掉了。

那我们知道了,鉴权其实就是一种过滤规则,或者说是校验规则。那怎么做到免鉴权的呢,其实就是在Filter中配置相应的参数,但是目前Gateway没有开放相应的参数,比较好的是,它支持自定义参数,具体是怎么做的呢,我们往下看:
1、配置yml,如上图所示,配置的shouldSkipUrls参数;
2、配置文件:NotAuthUrlPropertie;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.LinkedHashSet;

@Data
@Component
@ConfigurationProperties("agilepay.gateway")
public class NotAuthUrlProperties {

    private LinkedHashSet<String> shouldSkipUrls;
}

3、重写GlobalFilter.Filter方法。(Gateway提供GlobalFilter(实现过滤器业务)及Ordered(定义过滤器执行顺序)两个接口用来定义过滤器,我们自定义过滤器只需要实现这个两个接口即可。)

@Component
@Slf4j
public class WrapperRequestGlobalFilter implements GlobalFilter, Ordered {//, Ordered
    @Autowired
    private RsaKeyMapper rsaKeyMapper;

    @Resource
    private NotAuthUrlProperties notAuthUrlProperties;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();

        String currentUrl = exchange.getRequest().getURI().getPath();

        //1:不需要认证的url,不过滤放行的url
        if (shouldSkip(currentUrl)) {
            log.info("==========已跳过url{}=====", currentUrl);
            return chain.filter(exchange);
        }
        log.info("===========网关请求解密开始==================");
        return exchange.getResponse().setComplete();
    }


    @Override
    public int getOrder() {
        return 0;
    }

    /**
     * 方法实现说明:不需要过滤的路径
     * <p>
     * //     * @param currentUrl 当前请求路径
     */
    private boolean shouldSkip(String currentUrl) {
        PathMatcher pathMatcher = new AntPathMatcher();
        for (String skipPath : notAuthUrlProperties.getShouldSkipUrls()) {
            if (pathMatcher.match(skipPath, currentUrl)) {
                return true;
            }
        }
        return false;
    }
}

使用gateway通过配置文件即可完成路由的配置,非常方便,我们只要充分的了解配置项的含义及规则就可以了;但是这些配置如果要修改则需要重启服务,重启网关服务会导致整个系统不可用,这一点是无法接受的,下面介绍如何通过Nacos实现动态路由。
使用nacos结合gateway-server实现动态路由,我们需要先部署一个nacos服务,可以使用docker部署或下载源码在本地启动,具体操作可以参考官方文档即可。

Nacos_Gateway配置

在这里插入图片描述
Nacos实现动态路由的方式核心就是通过Nacos配置监听,配置发生改变后执行网关相关api创建路由
在这里插入图片描述

Nacos配置监听

@Component
public class NacosDynamicRouteService implements ApplicationEventPublisherAware {
private static final Logger LOGGER = LoggerFactory.getLogger(NacosDynamicRouteService.class);

@Autowired
private RouteDefinitionWriter routeDefinitionWriter;

private ApplicationEventPublisher applicationEventPublisher;

/** 路由id */
private static List<String> routeIds = Lists.newArrayList();

/**
 * 监听nacos路由配置,动态改变路由
 * @param configInfo
 */
@NacosConfigListener(dataId = "routes", groupId = "gateway-server")
public void routeConfigListener(String configInfo) {
    clearRoute();
    try {
        List<RouteDefinition> gatewayRouteDefinitions = JSON.parseArray(configInfo, RouteDefinition.class);
        for (RouteDefinition routeDefinition : gatewayRouteDefinitions) {
            addRoute(routeDefinition);
        }
        publish();
        LOGGER.info("Dynamic Routing Publish Success");
    } catch (Exception e) {
        LOGGER.error(e.getMessage(), e);
    }
    
}


/**
 * 清空路由
 */
private void clearRoute() {
    for (String id : routeIds) {
        routeDefinitionWriter.delete(Mono.just(id)).subscribe();
    }
    routeIds.clear();
}

@Override
public void setApplicationEventPublisher(ApplicationEventPublisher applicationEventPublisher) {
    this.applicationEventPublisher = applicationEventPublisher;
}

/**
 * 添加路由
 * 
 * @param definition
 */
private void addRoute(RouteDefinition definition) {
    try {
        routeDefinitionWriter.save(Mono.just(definition)).subscribe();
        routeIds.add(definition.getId());
    } catch (Exception e) {
        LOGGER.error(e.getMessage(), e);
    }
}

/**
 * 发布路由、使路由生效
 */
private void publish() {
    this.applicationEventPublisher.publishEvent(new RefreshRoutesEvent(this.routeDefinitionWriter));
}
}

总结

Swagger免鉴权是重写了Gateway中GlobalFilter接口Filter方法,方法中用当前请求url和配置免鉴权的url做匹配,匹配到则免鉴权;整合Nacos及配置监听就可以实现动态路由了。

雷凡玮
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何控制swagger 2+bootstrap ui访问鉴权
hq1148365306的博客
03-27 171
【代码】如何控制swagger 2+bootstrap ui访问鉴权
swagger开启身份认证
最新发布
04-08
swagger开启身份认证,解决未授权登录、敏感信息泄露等漏洞。
swagger】springboot项目中配置Swagger的两种方式以及swagger权限验证、安全控制
A-Itfuture的博客
11-09 1万+
swagger是什么? Swagger 是一个规范且完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。 Swagger 的目标是对 REST API 定义一个标准且和语言无关的接口,可以让人和计算机拥有无须访问源码、文档或网络流量监测就可以发现和理解服务的能力。当通过 Swagger 进行正确定义,用户可以理解远程服务并使用最少实现逻辑与远程服务进行交互。与为底层编程所实现的接口类似,Swagger 消除了调用服务时可能会有的猜测。Swagger 的优势1.在po
swashbuckle-authorize:在WebApi项目中为Swagger(Swashbuckle)启用身份验证和授权
04-30
昂首阔步授权 在WebApi项目中为Swagger(Swashbuckle)启用身份验证和授权。 看起来像什么: 如何使用: 1-下载SwaggerAuthorization.js文件并将其复制到Scripts文件夹中。 2-右键单击SwaggerAuthorization.js文件>属性>构建操作,然后选择SwaggerAuthorization.js资源。 3-在EnableSwaggerUi部分中,将以下行添加到App_Start \ SwaggerConfig.cs文件中: c . InjectJavaScript ( thisAssembly , " YOUR_PROJECT_NAMESPACE.Scripts.SwaggerAuthorization.js " );
SpringSecurity 使用
Zane Xu的博客
09-07 816
官网 简介 概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
成功解决Swagger问题
般若
06-09 2098
文章目录在线API调试,如何授权成功todo进行授权Swagger测试时,如何取消授权验证码验证? 文件名称 版本号 作者 qq 版本 成功解决Swagger问题 v0.0.1 若布与宫合 8416837 SpringBoot 2.2.6Spring-Cloud-Gateway 2.2.2 在线API调试,如何授权成功 在Swagger页面调接口,需要授权才能调,怎么搞呢?需要进行授权 todo Bug:因为没有Cookie或存储,没有存储token,导致授权成功后,刷新页面,授权
Springboot集成security,自定义@Anonymous标签实现登录,鉴权
evil_lrn的博客
02-16 4931
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
【.net core】yisha框架,实体不在同一项目下设置swagger接口及实体模型注释,授权鉴权
MoFe1的博客
06-25 469
【.net core】yisha框架,实体不在同一项目下设置swagger接口及实体模型注释,授权鉴权
swagger添加用户登录鉴权
sorce201的博客
09-11 1438
swagger在1.9.6之后,整合成knife4j。
全网没有之一的API 文档:Swagger
分享测试知识
09-13 1150
Swagger UI 允许任何人(无论是开发团队还是最终用户)都可以可视化 API 资源并与之交互,而无需任何实现逻辑。Swagger API 文档是根据 OpenAPI(以前称为 Swagger)规范自动生成的,可简化后端实现和客户端的使用。
渗透测试-暴力破解之验证码测试token防爆破绕过
lza20001103的博客
05-01 4364
暴力破解之验证码token防爆破绕过
springcloud网关gateway过滤排除指定的路径【指定路径不过滤】
weixin_52380943的博客
04-27 7947
针对前面的网关渠道RSA加密,有些页面和接口需要不过滤;所以做了以下不过滤指定路径相关处理配置: yml配置文件application.yml agilepay: gateway: shouldSkipUrls: - /gatherpay/doc.html - /gatherpay/passive/callback - /gatherpay/static/webjars/** - /gatherpay/resources/webjars/
swagger swagger swagger
07-31
swagger swagger swagger
Swagger使用指南
02-24
本文来自于csdn,本文主要介绍了swagger配置类里面,要配置自己的controller包路径以及如何使用swagger,希望对您的学习有所帮助。Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务...
Swagger转JMeter脚本工具
05-24
Swagger.json中的接口信息转换为JMeter脚本
swagger官方文档离线版
10-26
swagger官方文档离线版
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞
招财猫_Martin 的专栏
10-08 4468
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在未授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发包,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger未进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
Swagger2 添加HTTP head参数
热门推荐
猪哥
05-09 5万+
大家使用swagger往往会和JWT一起使用,而一般使用jwt会将token放在head里,这样我们在使用swagger测试的时候并不方便,因为跨域问题它默认不能自定义head参数。然后自己去网上找,发现国内大多数的都是写一个Filter接口,然后添加到配置。这样极大的破坏了程序的完整性。想想这相当于维护两套代码。我们只是需要一个简单的小功能,国外大多是修改Swagger的index页面,而我用的...
swagger之接口header控制
H_233的博客
11-18 9465
在大部分项目中,都存在权限控制,基本上大部分的接口都需要用户的登录信息。现在主流的采用如jwt或者其他方式,来通过请求时向header加入token,然后服务端解析token。所以我们需要在swagger生成的接口文档上也要进行header控制,除了接口参数以外,还要输入token header。 这里提供swagger header三种方式: 一、在每个controller接口上,标记swa...
springboot swagger oauth2 token鉴权实现代码及原理
06-13
Spring Boot是一个快速开发框架,Swagger是一个API文档生成工具,OAuth2是一个授权框架,可以用于保护API。 下面是Spring Boot集成Swagger和OAuth2的代码实现和原理解释: 1. 添加Swagger依赖 在pom.xml中添加Swagger依赖: ```xml <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2</version> </dependency> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>2.9.2</version> </dependency> ``` 2. 添加Swagger配置 在Spring Boot的配置类中添加Swagger配置: ```java @Configuration @EnableSwagger2 public class SwaggerConfig { @Bean public Docket api() { return new Docket(DocumentationType.SWAGGER_2) .select() .apis(RequestHandlerSelectors.any()) .paths(PathSelectors.any()) .build(); } } ``` 3. 添加OAuth2依赖 在pom.xml中添加OAuth2依赖: ```xml <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.4.RELEASE</version> </dependency> ``` 4. 添加OAuth2配置 在Spring Boot的配置类中添加OAuth2配置: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated(); } } ``` 5. 添加Token鉴权 添加Token鉴权的方式是在控制器方法上添加@PreAuthorize注解,指定需要的角色或权限: ```java @RestController @RequestMapping("/api") public class ApiController { @GetMapping("/hello") @PreAuthorize("hasRole('ADMIN')") public String hello() { return "Hello World!"; } } ``` 6. 请求Token 使用OAuth2的客户端工具请求Token: ```java public class OAuth2Client { public static void main(String[] args) { Base64.Encoder encoder = Base64.getEncoder(); String clientCredentials = "client_id:client_secret"; String encodedClientCredentials = encoder.encodeToString(clientCredentials.getBytes()); String url = "http://localhost:8080/oauth/token"; HttpHeaders headers = new HttpHeaders(); headers.setAccept(Arrays.asList(MediaType.APPLICATION_JSON)); headers.add("Authorization", "Basic " + encodedClientCredentials); MultiValueMap<String, String> map = new LinkedMultiValueMap<>(); map.add("grant_type", "client_credentials"); HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(map, headers); RestTemplate restTemplate = new RestTemplate(); ResponseEntity<String> response = restTemplate.postForEntity(url, request, String.class); System.out.println(response.getBody()); } } ``` 以上就是Spring Boot集成Swagger和OAuth2的代码实现和原理解释。其中Swagger用于生成API文档,OAuth2用于保护API,Token鉴权用于限制访问API的角色或权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值