web-dev-qa-db-ja.com

Swagger URLに認証なしでアクセスできるようにSpring Securityを構成する方法

私のプロジェクトにはSpring Securityがあります。主な問題: http:// localhost:8080/api/v2/api-docs でswagger URLにアクセスできません。 Authorizationヘッダーが見つからないか無効です。

ブラウザウィンドウのスクリーンショット 私のpom.xmlには次のエントリがあります

<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.4.0</version>
</dependency>

<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.4.0</version>
</dependency>

SwaggerConfig:

@Configuration
@EnableSwagger2
public class SwaggerConfig {

@Bean
public Docket api() {
    return new Docket(DocumentationType.SWAGGER_2).select()
            .apis(RequestHandlerSelectors.any())
            .paths(PathSelectors.any())
            .build()
            .apiInfo(apiInfo());
}

private ApiInfo apiInfo() {
    ApiInfo apiInfo = new ApiInfo("My REST API", "Some custom description of API.", "API TOS", "Terms of service", "[email protected]", "License of API", "API license URL");
    return apiInfo;
}

AppConfig:

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = { "com.musigma.esp2" })
@Import(SwaggerConfig.class)
public class AppConfig extends WebMvcConfigurerAdapter {

// ========= Overrides ===========

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LocaleChangeInterceptor());
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

web.xmlエントリ:

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        com.musigma.esp2.configuration.AppConfig
        com.musigma.esp2.configuration.WebSecurityConfiguration
        com.musigma.esp2.configuration.PersistenceConfig
        com.musigma.esp2.configuration.ACLConfig
        com.musigma.esp2.configuration.SwaggerConfig
    </param-value>
</context-param>

WebSecurityConfig:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan(basePackages = { "com.musigma.esp2.service", "com.musigma.esp2.security" })
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
        .csrf()
            .disable()
        .exceptionHandling()
            .authenticationEntryPoint(this.unauthorizedHandler)
            .and()
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
        .authorizeRequests()
            .antMatchers("/auth/login", "/auth/logout").permitAll()
            .antMatchers("/api/**").authenticated()
            .anyRequest().authenticated();

        // custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication
        httpSecurity.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class);

        // custom Token based authentication based on the header previously given to the client
        httpSecurity.addFilterBefore(new StatelessTokenAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class);
    }
}
57

これをWebSecurityConfigurationクラスに追加するとうまくいくはずです。

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/v2/api-docs",
                                   "/configuration/ui",
                                   "/swagger-resources/**",
                                   "/configuration/security",
                                   "/swagger-ui.html",
                                   "/webjars/**");
    }

}
111
Stijn Maller

/ configuration/**と/ swagger-resources/**で更新しましたが、うまくいきました。

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**");

}
18
Akshata Suvarna

Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0を使用しても同じ問題が発生しました。 Swagger UIリソースへのパブリックアクセスを許可する次のセキュリティ構成を使用して、問題を解決しました。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private static final String[] AUTH_WHITELIST = {
            // -- swagger ui
            "/v2/api-docs",
            "/swagger-resources",
            "/swagger-resources/**",
            "/configuration/ui",
            "/configuration/security",
            "/swagger-ui.html",
            "/webjars/**"
            // other public endpoints of your API may be appended to this array
    };


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                // ... here goes your custom security configuration
                authorizeRequests().
                antMatchers(AUTH_WHITELIST).permitAll().  // whitelist Swagger UI resources
                // ... here goes your custom security configuration
                antMatchers("/**").authenticated();  // require authentication for any endpoint that's not whitelisted
    }

}
13
naXa

ご使用のspringfoxバージョンが2.5よりも高い場合、以下のようにWebSecurityConfigurationを追加する必要があります。

@Override
public void configure(HttpSecurity http) throws Exception {
    // TODO Auto-generated method stub
    http.authorizeRequests()
        .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll()
        .and()
        .authorizeRequests()
        .anyRequest()
        .authenticated()
        .and()
        .csrf().disable();
}
4
duliu1990

このページには多かれ少なかれ回答がありますが、すべてが1つの場所にあるわけではありません。私は同じ問題を扱っていて、それにかなりの時間を費やしました。今、私はよりよく理解しており、ここでそれを共有したいと思います:

I Spring SwingでSwagger UIを有効にする:

Spring Websecurityをデフォルトで有効にした場合、アプリケーションへのすべてのリクエストがブロックされ、401が返されます。ただし、swagger uiがブラウザにロードされると、swagger-ui.htmlはデータを収集するためにいくつかの呼び出しを行います。デバッグする最善の方法は、ブラウザでswagger-ui.html(google chromeなど)を開き、開発者オプション( 'F12'キー)を使用することです。ページの読み込み時に行われたいくつかの呼び出しを見ることができ、swagger-uiが完全に読み込まれていない場合、おそらくそれらのいくつかが失敗しています。

spring websecurityにいくつかのスワッガーパスパターンの認証を無視するよう指示する必要がある場合があります。私はswagger-ui 2.9.2を使用していますが、私の場合は以下のパターンを無視する必要があります。

ただし、異なるバージョンを使用している場合は変更される可能性があります。前に言ったように、ブラウザで開発者オプションを使用して自分のものを把握する必要があるかもしれません。

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}
}

IIインターセプターを使用したSwagger UIの有効化

通常、swagger-ui.htmlによって行われた要求をインターセプトしたくない場合があります。以下のswaggerのいくつかのパターンを除外するコードは次のとおりです。

Webセキュリティとインターセプターのほとんどのケースパターンは同じです。

@Configuration
@EnableWebMvc
public class RetrieveCiamInterceptorConfiguration implements WebMvcConfigurer {

@Autowired
RetrieveInterceptor validationInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry) {

    registry.addInterceptor(validationInterceptor).addPathPatterns("/**")
    .excludePathPatterns("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

}

@EnableWebMvcを有効にしてインターセプターを追加する必要がある場合があるため、上記のコードスニペットで行ったのと同様に、リソースハンドラーをswaggerに追加する必要があります。

0
chanderdevx

/api/..のURLパターンで配置されたすべてのAPIリクエストを考慮すると、以下の構成を使用して、このURLパターンのみを保護するようにSpringに指示できます。つまり、何を無視するのではなく、何を保護するかを春に伝えているということです。

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .csrf().disable()
     .authorizeRequests()
      .antMatchers("/api/**").authenticated()
      .anyRequest().permitAll()
      .and()
    .httpBasic().and()
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
0
Siddu