Swagger

已于 2023-10-24 14:14:17 修改
阅读量291 收藏
点赞数
文章标签: 1024程序员节
于 2023-10-24 14:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44683696/article/details/134011027
版权

关于Swagger

  Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。

主要作用

  • 接口的文档在线自动生成
  • 功能测试

相关项目

  • Swagger-tools:提供各种与Swagger进行集成和交互的工具。例如模式检验、Swagger 1.2文档转换成Swagger 2.0文档等功能。
  • Swagger-core: 用于Java/Scala的的Swagger实现。与JAX-RS(Jersey、Resteasy、CXF...)、Servlets和Play框架进行集成。
  • Swagger-js: 用于JavaScript的Swagger实现。
  • Swagger-node-express: Swagger模块,用于node.js的Express web应用框架。
  • Swagger-ui:一个无依赖的HTML、JS和CSS集合,可以为Swagger兼容API动态生成优雅文档。
  • Swagger-codegen:一个模板驱动引擎,通过分析用户Swagger资源声明以各种语言生成客户端代码。

  swagger-ui会根据我们在代码中的设置来自动生成Api说明文档,若存在相关的配置缺陷的话,可能会存在信息泄漏问题。

通过Swagger生成API文档

  以Springboot整合Swagger2为例:

  在pom.xml中引入Swagger2的dependency依赖,同时引入Swagger UI生成可视化的UI页面展示描述文件,以便可以与自定义的API规范进行交互并测试端点。:

<dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger2</artifactId>
        <version>2.9.2</version>
</dependency>
<dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger-ui</artifactId>
        <version>2.9.2</version>
</dependency>

 然后就是编写Swagger2的配置文件了:

  使用相关注解进行配置:

  • @Configuration注解代表上图SwaggerConfig类为配置类,自动加载到容器中。
  • @EnableSwagger2则是用来启动Swagger支持,表示这是一个Spring Swagger的配置文件。

  定义了Bean方法createRestApi,返回类型为Docket。传入参数DocumentationType.SWAGGER_2指定使用swagger2.0。然后通过apiInfo指定接口文档的基本信息。RequestHandlerSelectors.basePackage(“org.demo.swagger2.controller”),这是扫描注解的配置(API接口位置)。配置的是你swagger想要要加载的接口所在的包名。例如配置为com的话会扫描com包下的。这里的话扫描的是org.demo.swagger2.controller下的Controller。

@Configuration
public class SwaggerConfig {
    @Bean
    public Docket createRestApi() {
        return new Docket(DocumentationType.SWAGGER_2).pathMapping("/").select()
                // 方法需要有ApiOperation注解才能生存接口文档
                .apis(RequestHandlerSelectors.basePackage("org.demo.swagger2.controller"))
                // 路径使用any风格
                .paths(PathSelectors.any()).build()
                // 接口文档的基本信息
                .apiInfo(apiInfo());
    }

    /*
     * 接口文档详细信息
     *
     * @return
     */
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder().title("Springboot整合Swagger2").description("xxx-api文档")
                .termsOfServiceUrl("https://sec-in.com/").version("1.0.0").build();
    }

}

然后在对应的Controller内加入Swagger的注解,便于生成对应的api接口文档,常用的注解有:

  • @Api:一般用于Controller中,用于接口分组,描述具体的实现内容。
  • @ApiImplicitParam:接口说明,用于controller控制层方法参数上,表示单独的请求参数 。
  • @ApiImplicitParams:用于controller控制层方法参数上,包含多个 @ApiImplicitParam。
  • @ApiOperation:对接口发起的http请求进行描述。
  • @ApiResponse:描述接口的response。
  • @ApiParam:表示对参数的添加元数据(说明或是否必填等)。
  • @ApiModel:用于实体bean,对其进行说明
  • @ApiModelProperty:用于实体bean,对实体参数进行说明。

  例如下面的例子:

@RestController
@Api(tags = "用户管理接口")
@RequestMapping("/user")
public class UserController {

    @ApiOperation(value="获取用户信息",notes="根据id查询用户")
    @ApiImplicitParam(name = "id",value = "用户id", defaultValue = "0")
    @GetMapping("/")
    public User getUserById(Long id) {
        User user = UserService.findUser(id);
        return user;
    }

    @ApiOperation(value="更新用户名",notes="根据id更新用户名")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "id", value = "用户id", defaultValue = "0"),
            @ApiImplicitParam(name = "username", value = "用户名", defaultValue = "tkswifty")
    })
    @PutMapping("/")
    public boolean updateUsernameById(String username, Long id) {
        boolean = UserService.update(id,username)
        return user;
    }
  ......
}

实体Bean的注解:

@ApiModel
public class User {
    @ApiModelProperty("用户id")
    private Long id;
    @ApiModelProperty("用户名")
    private String username;
    @ApiModelProperty("用户地址")
    private String address;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getAddress() {
        return address;
    }

    public void setAddress(String address) {
        this.address = address;
    }
}

启动项目后,访问/swagger-ui.html即可查看生成的接口文档:

 展开查看对应的api详情:

返回了预期的结果,通过上述方式即可简单的结合Swagger-UI生成对应的API接口文档。

  除此以外,也可以引入如下依赖:

<dependency>
    <groupId>com.spring4all</groupId>
    <artifactId>swagger-spring-boot-starter</artifactId>
    <version>1.8.0.RELEASE</version>
</dependency>


 

  然后通过在主类中配置@EnableSwagger2Doc注解,结合配置文件的方式生产对应的API接口文档。

@SpringBootApplication
@EnableSwagger2Doc
public class SpringDataJpaApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringDataJpaApplication.class, args);
    }
}

  配置文件applicaion.properties的部分配置:

swagger.title=Springboot整合Swagger2
swagger.description=xxx-api文档
swagger.licenseUrl=https://sec-in.com/
swagger.base-package=org.demo.swagger2.controller

  此外,Swagger2已经在17年停止维护了,取而代之的是Swagger3( OpenAPI Spec)。具体可以参考A Visual Guide to What's New in Swagger 3.0

  在pom.xml中引入相关dependency依赖,将springdoc-openapi和Swagger UI集成在一起,以便可以与我们的API规范进行交互并测试业务接口。

<dependency>
    <groupId>org.springdoc</groupId>
    <artifactId>springdoc-openapi-core</artifactId>
    <version>1.1.49</version>
</dependency>
<dependency>
    <groupId>org.springdoc</groupId>
    <artifactId>springdoc-openapi-ui</artifactId>
    <version>1.1.49</version>
</dependency>

相关的注解也做了迁移:

Swagger2OpenAPI Spec
@ApiParam@Parameter
@ApiOperation(value="", notes="")@Operation(summary = "", description = "")
@Api@Tag
@ApiImplicitParams@Parameters
@ApiImplicitParam@Parameter
@ApiIgnore@Parameter(hidden=true) Or @Operation(hidden=true) or @Hidden
@ApiModel@Schema
@ApiModelProperty@Schema
@ApiModelProperty(hidden = true)@Schema(accessMode = READ_ONLY)
@ApiResponse(code = 404, message = "")@ApiResponse(responseCode = "404", description = "")

 同样的完成相关设置启动项目后,访问/swagger-ui.html即可查看生成的接口文档:

利用思路

  可以发现一个问题,以上整合Swagger生成的API文档,是直接暴露在相关web路径下的。所有人均可以访问查看。通过这一点即可获取项目上所有的接口信息。那么结合实际业务,例如如果有文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在未授权访问等。

  常见的可利用漏洞有:

  • SQL注入
  • 任意文件上传/下载
  • 权限控制缺失
  • fastjson/jackson反序列化
  • ......

  以fastjson为例,例如如下接口文档,很明显是使用json进行提交的:
 

图片.png


  那么可以尝试修改提交的内容,点击execute进行提交,进行fastjson的相关测试:
 

图片.png


  也可以设置burp代理,结合repeater模块进行测试。

修复建议

  • 在生产节点禁用Swagger2:

    • 使用注解@Profile({"dev","test"}) 表示在开发或测试环境开启,而在生产关闭。

    • 使用注解@ConditionalOnProperty(name = "swagger.enable", havingValue = "true") 然后在测试配置或者开发配置中 添加 swagger.enable = true 即可开启,生产环境不填则默认关闭Swagger。

    • 在配置文件里添加一个swagger.enable属性,根据不同的application-xx.yml进行动态插入truefalse即可。然后在Swagger配置中进行设置

  @Value("${swagger.enable}")
    private Boolean enable;
    
    @Bean
    public Docket swaggerPersonApi10() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select()
                .apis(RequestHandlerSelectors.basePackage("org.demo.swagger2.controller"))
                .paths(PathSelectors.any())
                .enable(enable)
                .build()
                .apiInfo(apiInfo());
    }


具体效果如下:

  • 结合SpringSecurity/shiro进行认证授权,将Swagger-UI的URLs加入到各自的认证和授权过滤链中,当用户访问Swagger对应的资源时,只有通过认证授权的用户才能进行访问。
  • 结合nginx/Filter对对应的接口端点进行访问控制。

参考资料

https://github.com/swagger-api/swagger-ui

F.A.Q

膝上猫息
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro权限配置过滤 ,对swagger-ui权限开放
kanglong129的博客
07-02 3130
/** * Shiro的过滤器链 */ @Bean public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryB...
swagger-bootstrap-ui 访问权限控制
八一菜刀的专栏
04-25 1万+
在开发SwaggerBootstrapUi功能,同很多开发者经常讨论的问题就是在生产环境,屏蔽或者去除Swagger的文档很麻烦 ,通常有候我们碰到的问题如下: 系统部署生产环境,我们想屏蔽Swagger的文档功能,不管是接口或者html文档 通常我们有候需要生产环境部署后,又需要Swagger的文档调试功能,辅助开发者调试,但是存在安全隐患,没有对Swagger资源接口过滤 等等 ...
swagger-ui界面url地址的改变
nihai_baba的博客
02-08 2769
1.springboot项目检查Maven中所导入的依赖 3.0.0版本:需添加……springboot-starter io.springfox springfox-boot-starter 3.0.0 3.0.0版本以下: io.springfox springfox-swagger2 2.9.2
在生产环境禁用Swagger2
weixin_46574815的博客
04-07 700
在自定义的 Swagger2 配置类中,通过 @ConditionalOnProperty(prefix = “base”,name=“swagger-open”,havingValue = “true”)注解实现。在自定义的 Swagger2配置类中,通过 @ConditionalOnProperty(prefix = “base”,name=“swagger-open”,havingValue = “true”) 注解实现。但是版本上线之后,要是把 swagger 带上去会存在很大的风险。
swagger添加权限验证,swagger安全控制
热门推荐
小灰~的博客
07-20 2万+
当我们使用swagger,进行文档管理的候,担心文档暴露。 可采用两种方式 1.环境权限配置 对swagger文档配置只在测试环境可访问,生产环境不可访问。 @Profile({"dev","test"}) 如以上配置,则只有在dev以及test环境有效,在生产环境不可访问。 2.账户权限配置 在1.9.0版本,针对Swagger资源接口,SwaggerBootstrap...
html登录页面代码_Spring Security接管Swagger认证授权,我发现仅用了3行关键代码!
weixin_39589923的博客
11-26 605
接上篇《Apache Shiro 接管Swagger认证授权》,有热心网友反应Apache Shiro似乎太简单。针对这个问题,个人不做任何评价(一切技术服务于需求)。今天主要分享内容为:在Spring Security下如何接管Swagger认证授权工作。1.添加依赖假定你对Swagger和Spring Security已经有一定的基础,现在开始检查你的项目中是否添加了Swagger和Spri...
springboot整合shiro并使用swagger进行登录测试和权限测试
m0_59762490的博客
08-06 1465
简单的前后端分离
swagger本地程序
06-06
Swagger是一个强大的API开发工具,主要用于设计、构建、记录和使用RESTful web服务。在这个“swagger本地程序”中,我们关注的是Swagger Editor,这是一个用于编写OpenAPI规范(以前称为Swagger规格)的在线工具,...
Swagger,NET4.5版本的
06-24
Swagger是一个流行的API开发工具,主要用于设计、构建、文档化和使用RESTful web服务。在.NET框架中,Swagger可以通过Swashbuckle库实现,这个库为ASP.NET Web API提供了集成Swagger的功能。在这个.NET 4.5版本的...
swagger开启身份认证
最新发布
04-08
swagger开启身份认证,解决未授权登录、敏感信息泄露等漏洞。
Swagger使用指南
02-24
本文来自于csdn,本文主要介绍了swagger配置类里面,要配置自己的controller包路径以及如何使用swagger,希望对您的学习有所帮助。Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务...
swagger.zip
04-30
Swagger 是一个广泛使用的开源框架,主要用于构建RESTful API的文档化和测试。它提供了一种标准的方式来描述Web服务接口,使得开发者可以轻松地理解和使用这些接口。Swagger通过JSON格式的OpenAPI规范来定义API,这...
Swagger介绍及使用
River的博客
11-13 2754
什么是SwaggerSwagger 是一个规范且完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。通俗的讲,Swagger 就是将项目中所有接口(想要暴露出去的接口)展现在页面上,并且可以进行接口调用和测试的服务。 好处: 1、后端程序员就不需要专门为前端使用者编写专门的接口文档; 2、当接口更新之后,只需要修改代码中的 Swagger 描述就可以实生成新的接口文档了; 3、可以直接进行接口调用,降低了项目开发阶段的调试成本。 Swagger的使用: 1、先
Springboot整合Shiro+JWT实现认证授权
我的青春一去不复返
09-02 2218
Springboot整合Shiro+JWT实现用户登录认证和权限授权
SwaggerUI用法和权限的注解
LXC的博客
10-26 1360
1.为什么使用swagger 2.怎么使用swagger 3.权限注解的使用方式
nginx访问控制
m0_56681539的博客
10-19 1566
stub_status模块主要作用于查看nginx的一些状态信息。Allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开。Deny:设定禁止那台或哪些主机访问,多个参数间用空格隔开。//user_auth_file内容格式。auth_basic “欢迎信息”;安装httpd-tools软件包。//用于location段。去虚拟机里的浏览器访问
Spring Security的认证授权(1)
weixin_43831002的博客
08-02 1954
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
SpringBoot集成Swagger使用SpringSecurity控制访问权限
m0_73311735的博客
05-10 1206
本文主要介绍了如何在Spring Boot项目中使用Swagger,并且解决了使用Spring Security访问Swagger资源被拦截的问题。首先,我们需要在pom.xml中添加SwaggerSwagger UI的依赖。然后,在配置类中使用启用Swagger,并通过@Bean注解创建一个Docket对象来配置Swagger,包括文档说明和扫描的包路径等。在使用Spring Security的项目中,由于默认情况下Spring Security会对所有资源进行保护,因此我们需要通过类的。
springsecurity认证授权实现(web方法)
银魄清辉自夜凝的博客
06-27 957
自定义认证流程 创建配置类WebSecurityConfig继承WebSecurityConfigurerAdapter 复写configure方法去进行授权配置 因为要用到mapper接口需要注入所以将配置类交给spring管理 1.创建类继承Userdetail public class MyUserDetailService implements UserDetailsService { } 2.导包 配置yml 集成mybatis spring: datasource: drive
java swagger
04-03
Swagger**是一个用于生成、描述、调用和可视化RESTful风格Web服务的开源框架**。它可以帮助开发者在Java项目中自动生成API文档并进行功能测试。 Swagger的主要特点包括: 1. **自动生成文档**:Swagger可以扫描代码中的注解,自动生成清晰、美观的API文档,这样可以减少手动编写文档的工作量。 2. **交互式API测试**:通过Swagger UI,开发者可以直接在浏览器中对API进行测试,无需编写额外的测试代码。 3. **客户端SDK生成**:Swagger可以根据API定义生成各种语言的客户端SDK代码,简化了客户端的开发过程。 4. **服务器stub代码生成**:Swagger还可以生成服务器端的存根代码,帮助开发者快速实现服务端逻辑。 5. **支持多种框架**:Swagger支持与Spring、JAX-RS等多种流行的Java Web框架集成,方便在不同项目中使用。 综上所述,Swagger是Java开发者在构建和维护RESTful API的一个强大工具,它不仅提高了开发效率,还有助于保证API的质量和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值