swagger接口需要权限验证解决方案

已于 2023-06-09 14:04:18 修改
阅读量1.1w 收藏 10
点赞数 1
分类专栏: swagger java 开发工具 文章标签: restful java spring swagger
于 2022-03-15 11:48:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybb_ymm/article/details/123498292
版权
java 同时被 3 个专栏收录
107 篇文章 4 订阅
订阅专栏
开发工具
11 篇文章 0 订阅
订阅专栏
swagger
1 篇文章 0 订阅
订阅专栏

目录

背景

解决方案

背景

当我们在使用s w a g g e r的情况下,经常会遇到需要授权或者请求带有token才可以访问接口,这里我们就是解决授权问题。

解决方案

废话不多说,我们直接给出解决方案,具体代码如下:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.service.ApiInfo;
import springfox.documentation.service.ApiKey;
import springfox.documentation.service.AuthorizationScope;
import springfox.documentation.service.SecurityReference;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spi.service.contexts.SecurityContext;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.s w a g g e r2.annotations.EnableS w a g g e r2;

import java.util.ArrayList;
import java.util.List;

/**
 * 配置类,该类里面的应该是固定的,主要用来设置文档的主题信息,比如文档的大标题,副标题,公司名
 *  * 等
 */
@Configuration
@EnableSw gger2
public class S waggerConfig {
    /**
     * 创建API应用
     * apiInfo() 增加API相关信息
     * 通过select()函数返回一个ApiSelectorBuilder实例,用来控制哪些接口暴露给Swa gger来展现,
     * 本例采用指定扫描的包路径来定义指定要建立API的目录。
     *
     * @return
     */
    @Bean
    public Docket createRestApi(){
        //版本类型是sw agger2
        return new Docket(DocumentationType.SWA GGER_2)
                //通过调用自定义方法apiInfo,获得文档的主要信息
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.aaa.www.module.controller"))//扫描该包下面的API注解
                .paths(PathSelectors.any())
                .build()
                .securitySchemes(securitySchemes())
                .securityContexts(securityContexts());
    }
    /**
     * 创建该API的基本信息(这些基本信息会展现在文档页面中)
     * 访问地址:http://项目实际地址/s w a g g e r-ui.html
     * @return
     */
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("后台管理系统api") //接口管理文档首页显示
                .description("api信息")//API的描述
                .termsOfServiceUrl("www.aaa.com")//网站url等
                .version("1.0")
                .build();
    }
    private List<ApiKey> securitySchemes() {
        List<ApiKey> apiKeyList= new ArrayList();
        apiKeyList.add(new ApiKey("token", "token", "header"));
        return apiKeyList;
    }

    private List<SecurityContext> securityContexts() {
        List<SecurityContext> securityContexts=new ArrayList<>();
        securityContexts.add(
                SecurityContext.builder()
                        .securityReferences(defaultAuth())
                        .forPaths(PathSelectors.regex("^(?!auth).*$"))
                        .build());
        return securityContexts;
    }

    List<SecurityReference> defaultAuth() {
        AuthorizationScope authorizationScope = new AuthorizationScope("global", "accessEverything");
        AuthorizationScope[] authorizationScopes = new AuthorizationScope[1];
        authorizationScopes[0] = authorizationScope;
        List<SecurityReference> securityReferences=new ArrayList<>();
        securityReferences.add(new SecurityReference("token", authorizationScopes));
        return securityReferences;
    }
}
 

注意截图中圈出,要和自己请求头中的字段名一致

 配置完成后,在右上角会出现 Authorize按钮,如下图

 点击按钮,然后将登录后返回的token添加下下图中的输入框中,然后授权按钮

欢迎大家点击下方卡片,关注《coder练习生》

ybb_ymm
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详细解决:Swagger API 授权访问漏洞问题
weixin_71807218的博客
03-16 4875
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
一文解决:Swagger API 授权访问漏洞问题
热门推荐
LiamHong_的博客
10-27 2万+
是一个用于设计、构建、文档化和使用风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,授权的访问可能会导致安全漏洞。本文将介绍如何解决问题。
解锁Swagger鉴权
最新发布
果酱 の 博客
05-06 522
Swagger
最佳实践:解决 Swagger API 中的授权访问漏洞
每天多一点干货
10-27 476
投的前端开发,base杭州,10.27上午人工第一面,被疯狂抠细节拷打,答的不太好晚上看了一下状态,从AI面试变成了二轮面试进行中所以,这是人工第一面过了,还是。12人一组,一清一北?坏消息,是顺丰的低价,设计岗在深圳那么点钱估计活不下去,xdm我要接吗还是等其他的,本人广东人, 目前满帮三面、615hr面,其他大大小小银行和联通等还在流程中。市场上有很多大厂,虽然打着同一杆大旗,但里面的业务五花八门,人员的福利体系也千差万别,拿到同一个大厂的offer,签约公司却很可能不一样,比如,腾讯、华为、阿里。
实战纪实 | 某医院系统swagger接口授权 + Springboot信息泄露
2301_80127209的博客
01-17 1931
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露。很多接口,不可能一个一个手动测试吧,上工具:swagger-hack。工具扫描完会生成文档,查看文档,是否有返回敏感内容。开局还是先测一下登录框,弱密码走一波,无果。帮助你在面试中脱颖而出。
SpringBoot中通过配置Swagger权限解决Swagger授权访问漏洞
沉淀、分享、成长,让自己和他人都能有所收获!
02-26 7214
在本文中,我们详细讨论了在SpringBoot项目中解决Swagger权限漏洞的方法。通过配置和代码示例,我们可以有效地保护我们的系统免受潜在的安全威胁。希望这些技巧对你有所帮助!
授权访问漏洞总结
LuckySec
03-24 4718
前言:这篇文章主要收集一些常见的授权访问漏洞。授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 授权漏洞预览 Active MQ 授权访问 Atlassian Crowd 授权访问 CouchDB 授权访问 Docker 授权访问 Dubbo 授权访问 Druid 授权访问 Elasticsearch 授权访问 FTP 授权访问 Hadoop 授权访问 JBoss 授权访
Swagger UI 仅为用户暴露已授权终结点
dotNET跨平台
11-22 335
前言当需要在生产环境中提供 Swagger UI 时,我们可以通过身份验证,控制只有授权用户才能访问 Swagger UI 页面。但是我们希望更进一步,每个用户只能看到授权给他的终结点,而不会暴露其他授权终结点信息。比如, API 提供了方法 A 和 方法 B,而对于用户 zhangsan 来说,他在 Swagger UI 页面只能看到方法 A 的说明,而不会知道方法 B 的存在。思路Swagg...
基于Java的Torna接口文档管理解决方案设计源码
04-16
本源码项目是基于Java的Torna接口文档管理解决...Torna旨在提供一个方便、快捷的接口文档管理解决方案,采用团队协作的方式管理和维护接口文档,支持不同形式的文档统一维护,以提高团队协作效率和接口文档的管理质量。
swagger接口文档改良添加左侧菜单.rar
07-28
基于swagger文档,进行左侧菜单改造,添加左侧菜单,快速导航菜单接口,后台接口api目录用-分割,如: XX系统-XX管理-XX列表
Swagger接口导出Word.rar
10-12
Swagger接口导出Word源码
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
spring security reference 3.1.6 使用指南
03-22
spring security reference 3.1.6 使用指南,pdf格式。
提高生产率swagger接口文档映射生成前端接口方法
01-08
前后端分离时,前端对接口需要接口文档,根据...我们可以根据swagger接口文档,前端来自动生成接口方法 根据swagger.json文件来npm 生成接口方法 接口信息都截去了 原创文章 60获赞 17访问量 21万+ 关注 私信
swagger实现接口搜索功能
02-27
功能强大的Swagger,可以通过注解扫描或包体扫描自动生成API文档,...但是当api接口文档很多时,是不是觉得查找很不方便,官网也没有提供这样的方法,这里修改了swagger的源码,实现了接口搜索的功能,大大便捷了工作
swagger添加权限验证,swagger安全控制
fan510988896的博客
12-25 3532
控制swagger页面的访问方式: 1、配置类增加注解: @ConditionalOnProperty(prefix = "swagger",value = {"enable"},havingValue = "true") 并增加配置: swagger: enable: false 2、控制在某个环境可访问,配置类增加注解 @Profile({"sit1","sit2...
Swagger文档在SpringBoot框架下的配置,Swagger配置登录验证
无心
06-17 2495
【代码】Swagger文档在SpringBoot框架下的配置,Swagger配置登录验证
javaspringboot1.x/springboot2.x配置swagger2登录密码/设置swagger访问权限
smm的博客
04-12 1万+
javaspringboot1.x/springboot2.x配置swagger2登录密码/设置swagger访问权限
swagger 全局token设置
qq_39508627的博客
10-16 2013
Swagger是一个很方便的东东,但正常使用时,我们的接口需要登陆才能访问的。即登陆时,要传一个登陆后的token才能访问的。 那这个怎么设置,才可以让所有接口都允许登陆后访问呢。 解决办法如下: @EnableSwagger2 @Configuration public class SwggerConfig { @Bean public Docket createRestApi() { return new Docket(DocumentationType.SWAGGE
swagger 配置接口需要身份验证
06-07
如果你的 API 需要身份验证,你可以使用 Swagger 来配置接口需要身份验证。 1. 在 Swagger 的 YAML 或 JSON 文件中添加 securityDefinitions 属性,指定身份验证方式和参数。 例如,添加 Bearer Token 身份验证: ``` securityDefinitions: bearerAuth: type: apiKey name: Authorization in: header ``` 2. 在 YAML 或 JSON 文件中的 security 属性中指定使用的身份验证方式。 例如,指定使用 Bearer Token 身份验证: ``` security: - bearerAuth: [] ``` 3. 在需要身份验证接口中添加 security 属性,指定需要的身份验证方式。 例如,需要身份验证接口: ``` paths: /api/protected: get: security: - bearerAuth: [] ... ``` 完成上述步骤后,Swagger UI 将会在每个需要身份验证接口中添加 Authorization 头部信息,以确保请求被正确处理。在 Swagger UI 的右上角,点击“Authorize”按钮,在弹出的窗口中输入身份验证信息,然后点击“Authorize”按钮进行身份验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ybb_ymm

你的鼓励会是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值