一,swagger有哪些环节需要注意安全?

1,生产环境中,要关闭swagger

application.properties中配置:

springfox.documentation.swagger-ui.enabled=false

2,swagger使用一台专用的服务器来部署,

可以访问的ip地址要做限制,

外部的防火墙和应用中都做限制,

3,自定义访问swagger的url

4, 可以访问swagger的用户要做权限的验证

说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest

对应的源码可以访问这里获取: https://github.com/liuhongdi/

说明:作者:刘宏缔 邮箱: 371125307@qq.com

二,演示项目的相关信息

1,项目地址

https://github.com/liuhongdi/swagger3security

2,项目功能说明:

演示了swagger3的安全配置

3,项目结构:如图:

三,配置文件说明

1,pom.xml

        <!-- swagger3 begin -->

        <dependency>

            <groupId>io.springfox</groupId>

            <artifactId>springfox-boot-starter</artifactId>

            <version>3.0.0</version>

        </dependency>

        <!-- spring security -->

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

2,application.properties

#error

server.error.include-stacktrace=always

#error

logging.level.org.springframework.web=trace

#swagger,使可用

springfox.documentation.swagger-ui.enabled=true

#改变url

springfox.documentation.swagger-ui.base-url=/lhddoc

#设置允许访问的ip地址白名单

swagger.access.iplist = 192.168.3.1,127.0.0.1

四,java代码说明

1,Swagger3Config.java

@EnableOpenApi

@Configuration

public class Swagger3Config implements WebMvcConfigurer {

    @Bean

    public Docket createRestApi() {

        //返回文档摘要信息

        return new Docket(DocumentationType.OAS_30)

                .apiInfo(apiInfo())

                .select()

                //.apis(RequestHandlerSelectors.withMethodAnnotation(ApiOperation.class))

                .apis(RequestHandlerSelectors.withMethodAnnotation(Operation.class))

                .paths(PathSelectors.any())

                .build()

                .globalRequestParameters(getGlobalRequestParameters())

                .globalResponses(HttpMethod.GET, getGlobalResonseMessage())

                .globalResponses(HttpMethod.POST, getGlobalResonseMessage());

    }

    //生成接口信息,包括标题、联系人等

    private ApiInfo apiInfo() {

        return new ApiInfoBuilder()

                .title("Swagger3接口文档")

                .description("如有疑问,请联系开发工程师老刘。")

                .contact(new Contact("刘宏缔", "https://www.cnblogs.com/architectforest/", "371125307@qq.com"))

                .version("1.0")

                .build();

    }

    //生成全局通用参数

    private List<RequestParameter> getGlobalRequestParameters() {

        List<RequestParameter> parameters = new ArrayList<>();

        parameters.add(new RequestParameterBuilder()

                .name("appid")

                .description("平台id")

                .required(true)

                .in(ParameterType.QUERY)

                .query(q -> q.model(m -> m.scalarModel(ScalarType.STRING)))

                .required(false)

                .build());

        parameters.add(new RequestParameterBuilder()

                .name("udid")

                .description("设备的唯一id")

                .required(true)

                .in(ParameterType.QUERY)

                .query(q -> q.model(m -> m.scalarModel(ScalarType.STRING)))

                .required(false)

                .build());

        parameters.add(new RequestParameterBuilder()

                .name("version")

                .description("客户端的版本号")

                .required(true)

                .in(ParameterType.QUERY)

                .query(q -> q.model(m -> m.scalarModel(ScalarType.STRING)))

                .required(false)

                .build());

         return parameters;

    }

    //生成通用响应信息

    private List<Response> getGlobalResonseMessage() {

        List<Response> responseList = new ArrayList<>();

        responseList.add(new ResponseBuilder().code("404").description("找不到资源").build());

         return responseList;

    }

}

配置swagger3

2,HomeController.java

@Api(tags = "首页信息管理")

@Controller

@RequestMapping("/home")

public class HomeController {

    @Operation(summary = "session详情")

    @GetMapping("/session")

    @ResponseBody

    public String session() {

        HttpSession session = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest().getSession();

        Enumeration e   =   session.getAttributeNames();

        String s = "";

        while( e.hasMoreElements())   {

            String sessionName=(String)e.nextElement();

            s += "name="+sessionName+";<br/>";

            s += "value="+session.getAttribute(sessionName)+";";

        }

        return s;

    }

}

查看当前登录用户的session

3,SecurityConfig.java

@Configuration

@EnableWebSecurity

 public class SecurityConfig extends WebSecurityConfigurerAdapter {

     @Value("${swagger.access.iplist}")

     private String iplist;

     @Override

     protected void configure(HttpSecurity http) throws Exception {

                 //得到iplist列表

                String iprule = "";

                //hasIpAddress('10.0.0.0/16') or hasIpAddress('127.0.0.1/32')

                String[] splitAddress=iplist.split(",");

                for(String ip : splitAddress){

                     if (iprule.equals("")) {

                         iprule = "hasIpAddress('"+ip+"')";

                     } else {

                         iprule += " or hasIpAddress('"+ip+"')";

                     }

                }

                String swaggerrule = "hasAnyRole('ADMIN','DEV') and ("+iprule+")";

                  //login和logout

                  http.formLogin()

                         .defaultSuccessUrl("/home/session")

                        .failureUrl("/login-error.html")

                        .permitAll()

                       .and()

                       .logout();

                  //匹配的页面,符合限制才可访问

                  http.authorizeRequests()

                  //.antMatchers("/actuator/**").hasIpAddress("127.0.0.1")

                  //.antMatchers("/admin/**").access("hasRole('admin') and (hasIpAddress('127.0.0.1') or 
                  //hasIpAddress('192.168.1.0/24') or hasIpAddress('0:0:0:0:0:0:0:1'))");

                 .antMatchers("/lhddoc/**").access(swaggerrule)

                 .antMatchers("/goods/**").hasAnyRole("ADMIN","DEV");

                  //剩下的页面,允许访问

                 http.authorizeRequests().anyRequest().permitAll();

             }

     @Autowired

     public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

         //添加两个账号用来做测试

         auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                 .withUser("lhdadmin")

                 .password(new BCryptPasswordEncoder().encode("123456"))

                 .roles("ADMIN","USER")

                 .and()

                 .withUser("lhduser")

                 .password(new BCryptPasswordEncoder().encode("123456"))

                 .roles("USER");

     }

 }

spring security的配置,重点是ip地址白名单的限制要加入

4,Goods.java等,可以从github.com查看

五,测试效果

1,无权限的访问效果:

用lhduser账号登录

从session页面可以看到当前登录用户的授权角色是:ROLE_USER

因为没有权限,访问swagger时会报错

2,有权限访问时的效果:

用lhdadmin登录

查看session:

可以看到用户权限包括:ROLE_ADMIN

访问swagger:

http://127.0.0.1:8080/lhddoc/swagger-ui/

返回:

3,从非授权的ip地址访问:

既使用获得授权的用户账号登录也会报错,因为ip未授权

六,查看spring boot的版本

  .   ____          _            __ _ _

 /\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \

( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \

 \\/  ___)| |_)| | | | | || (_| |  ) ) ) )

  '  |____| .__|_| |_|_| |_\__, | / / / /

 =========|_|==============|___/=/_/_/_/

 :: Spring Boot ::        (v2.3.3.RELEASE)

spring boot:swagger3的安全配置(swagger 3.0.0 / spring security / spring boot 2.3.3)的更多相关文章

  1. 006-Spring Boot自动配置-Condition、Conditional、Spring提供的Conditional自动配置

    一.接口Condition.Conditional(原理) 主要提供一下方法 boolean matches(ConditionContext context, AnnotatedTypeMetada ...

  2. spring多个定时任务quartz配置

    spring多个定时任务quartz配置 <?xml version=”1.0″ encoding=”UTF-8″?> <beans xmlns=”http://www.spring ...

  3. spring boot:swagger3文档展示分页和分栏的列表数据(swagger 3.0.0 / spring boot 2.3.3)

    一,什么情况下需要展示分页和分栏的数据的文档? 分页时,页面上展示的是同一类型的列表的数据,如图: 分栏时,每行都是一个列表,而且展示的数据类型也可能不同 这也是两种常用的数据返回形式 说明:刘宏缔的 ...

  4. spring boot:用swagger3生成接口文档,支持全局通用参数(swagger 3.0.0 / spring boot 2.3.2)

    一,什么是swagger? 1,  Swagger 是一个规范和完整的文档框架, 用于生成.描述.调用和可视化 RESTful 风格的 Web 服务文档 官方网站: https://swagger.i ...

  5. Spring Boot使用MyBatis Generator、Swagger

    MyBatis是Java目前主流的ORM框架,在Spring Boot中使用MyBatis可以参考这篇文章:http://www.ityouknow.com/springboot/2016/11/06 ...

  6. 学记:为spring boot写一个自动配置

    spring boot遵循"约定优于配置"的原则,使用annotation对一些常规的配置项做默认配置,减少或不使用xml配置,让你的项目快速运行起来.spring boot的神奇 ...

  7. Spring Boot 部署与服务配置

    Spring Boot 其默认是集成web容器的,启动方式由像普通Java程序一样,main函数入口启动.其内置Tomcat容器或Jetty容器,具体由配置来决定(默认Tomcat).当然你也可以将项 ...

  8. Spring Boot 探索系列 - 自动化配置篇

    26. Logging Prev  Part IV. Spring Boot features  Next 26. Logging Spring Boot uses Commons Logging f ...

  9. Spring Boot Dubbo applications.properties 配置清单

    摘要: 原创出处 www.bysocket.com 「泥瓦匠BYSocket 」欢迎转载,保留摘要,谢谢! 『 与其纠结,不如行动学习.Innovate ,And out execute ! 』 本文 ...

随机推荐

  1. C#开发PACS医学影像处理系统(六):加载Dicom影像

    对于一款软件的扩展性和维护性来说,上层业务逻辑和UI表现一定要自己开发才有控制权,否则项目上线之后容易被掣肘, 而底层图像处理,我们不需要重复造轮子,这里推荐使用fo-dicom,同样基于Dicom3 ...

  2. oracle之时间类型

    Oracle 时间类型及Timezone 20.1 Oracle的六种时间类型 DATETIMESTAMPTIMESTAMP WITH TIME ZONETIMESTAMP WITH LOCAL TI ...

  3. maoge数

    maoge数 题目描述 maoge定义一个数x是maoge数的条件,当且仅当x的各数位之和等于 x / 2向下取整,现在maoge想让你求 n 的约数中有多少个maoge数 输入格式 输入一个数 n ...

  4. day51:django:dispatch&模板渲染&过滤器&标签&组件&静态文件配置

    目录 1.dispatch 2.模板渲染 3.过滤器 4.标签 5.组件 6.静态文件配置 dispatch 回顾:CBV对应的URL传参 urls.py url(r'^book/(\d+)/(\d+ ...

  5. Java多线程--CAS

    在Java多线程并发的情况下同时对一个变量进行操作会出现线程安全的问题,假如我们现在使用20个线程对一个变量不停累加1,代码如下: 1 public class ThreadDemo implemen ...

  6. C# NX二次开发环境搭建

    在网上看到一篇C#二次开发环境搭建的文章:NX二次开发-使用NXOPEN C#手工搭建开发环境配置 ,写得非常好.我按照文章操作,过程中遇到几个问题,把问题分享给大家,希望对各位有帮助. 注意三点: ...

  7. java版app自动化测试初始化模板

    项目目录介绍 目录结构如下: (包含:驱动的基础配置.全局异常处理.异常截图.报告自动生成.app常用操作方法封装.常用工具类封装) 各包分层关系 basepage包负责存放app公共操作方法.And ...

  8. 基于vue2定义自己的图表echart组件

    先安装echarts cnpm i echarts -S,然后定义父组件 <template> <div> <echarts :option="echartOp ...

  9. mysql-18-function

    #函数 /* 存储过程:可以有0个或多个返回,适合批量插入.批量更新 函数:有且仅有一个返回,适合处理数据后返回一个结果 */ #一.创建语法 /* create function 函数名(参数列表) ...

  10. IDEA配置jQuery,$符号不再显示黄色波浪线

    在使用IDEA搭建Maven的Web环境时,编写的JQuery入口函数时,遇到了未知符号的提示,并且在前端页面js的console里报错. 以下是错误信息:  解决方案:  继续看图: 配置成功生效: ...