安全漏洞修复导致SpringBoot2.7与Springfox不兼容，问题排查与处理

开心一刻

2021，朋友某一次核酸检测，跟我聊天
朋友：今天我们小区做核算，队长死了
我：卧槽，过劳死吗
朋友：？？？？？
我：啊？
朋友：队长死了，队伍很长！
我：哈哈哈，我以为做核算的队长死了呢

背景介绍

项目基于 springboot2.5.2 实现的，用 springfox-swagger2 生成与前端对接的 API 文档；pom.xml 中依赖如下

<parent>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-parent</artifactId>

    <version>2.5.2</version>

</parent>

<properties>

    <maven.compiler.source>8</maven.compiler.source>

    <maven.compiler.target>8</maven.compiler.target>

    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

</properties>

<dependencies>

    <dependency>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-web</artifactId>

    </dependency>

    <dependency>

        <groupId>io.springfox</groupId>

        <artifactId>springfox-boot-starter</artifactId>

        <version>3.0.0</version>

    </dependency>

</dependencies>

启动服务后，就可以访问 Swagger UI

http://localhost:8080/swagger-ui/index.html

前端同事就可以访问这个来对接接口了，后端省去了写接口文档的工作，一切都是那么美好！可突然有一天，安全部门发来报告，说服务存在很多安全漏洞

CVE-2023-20860、CVE-2022-45143、CVE-2023-46589、...

让我们根据报告中的建议进行修复，然后就开始了我的踩坑之旅！

springboot 与 springfox 兼容问题

粗略看了一眼，将 spring-boot 升级，可以解决很多漏洞，既然要升，那就升到可升的最高版本；因为是基于 JDK8，所以 spring-boot 最高能升级到 2.7.8。那就升嘛，不要怂就是干！

<parent>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-parent</artifactId>

    <version>2.7.18</version>

</parent>

启动服务，第一个坑来了：NullPointerException

2025-05-30 21:13:42.264|ERROR|main|818|o.s.boot.SpringApplication              :Application run failed

org.springframework.context.ApplicationContextException: Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException

	at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:182)

	at org.springframework.context.support.DefaultLifecycleProcessor.access$200(DefaultLifecycleProcessor.java:54)

	at org.springframework.context.support.DefaultLifecycleProcessor$LifecycleGroup.start(DefaultLifecycleProcessor.java:357)

	at java.lang.Iterable.forEach(Iterable.java:75)

	at org.springframework.context.support.DefaultLifecycleProcessor.startBeans(DefaultLifecycleProcessor.java:156)

	at org.springframework.context.support.DefaultLifecycleProcessor.onRefresh(DefaultLifecycleProcessor.java:124)

	at org.springframework.context.support.AbstractApplicationContext.finishRefresh(AbstractApplicationContext.java:946)

	at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:594)

	at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:147)

	at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:732)

	at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:409)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:308)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1300)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1289)

	at com.qsl.Application.main(Application.java:16)

Caused by: java.lang.NullPointerException: null

	at springfox.documentation.spring.web.WebMvcPatternsRequestConditionWrapper.getPatterns(WebMvcPatternsRequestConditionWrapper.java:56)

	at springfox.documentation.RequestHandler.sortedPaths(RequestHandler.java:113)

	at springfox.documentation.spi.service.contexts.Orderings.lambda$byPatternsCondition$3(Orderings.java:89)

	at java.util.Comparator.lambda$comparing$77a9974f$1(Comparator.java:469)

	at java.util.TimSort.countRunAndMakeAscending(TimSort.java:355)

	at java.util.TimSort.sort(TimSort.java:220)

	at java.util.Arrays.sort(Arrays.java:1512)

	at java.util.ArrayList.sort(ArrayList.java:1454)

	at java.util.stream.SortedOps$RefSortingSink.end(SortedOps.java:387)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:482)

	at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471)

	at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708)

	at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234)

	at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499)

	at springfox.documentation.spring.web.plugins.WebMvcRequestHandlerProvider.requestHandlers(WebMvcRequestHandlerProvider.java:81)

	at java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:193)

	at java.util.ArrayList$ArrayListSpliterator.forEachRemaining(ArrayList.java:1374)

	at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:481)

	at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471)

	at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708)

	at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234)

	at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.withDefaults(AbstractDocumentationPluginsBootstrapper.java:107)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.buildContext(AbstractDocumentationPluginsBootstrapper.java:91)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.bootstrapDocumentationPlugins(AbstractDocumentationPluginsBootstrapper.java:82)

	at springfox.documentation.spring.web.plugins.DocumentationPluginsBootstrapper.start(DocumentationPluginsBootstrapper.java:100)

	at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:179)

	... 14 common frames omitted

遇到问题不要怕

查询问题并解决问题嘛；从哪查，我想大家已经达成了统一的共识：大数据模型。deepseek 就是热门之一，我们直接将堆栈信息扔给他，让他提供解决方案。他一针见血分析出了原因

这个错误通常是由于 Springfox Swagger（springfox-swagger2）与 Spring Boot 版本不兼容 或 Spring MVC 路径匹配策略冲突 导致的。以下是几种解决方案

降级 Spring Boot 版本

Spring Boot 2.6+ 开始与 springfox 不兼容，但 Springfox Swagger 2.x 已经停止维护了，所以说通过升级 Springfox Swagger 来适配 Spring Boot 2.6+ 是不行了。

我们的目的是升级 Spring Boot，那么降级 Spring Boot 这个方案肯定是行不通的。
升级到 SpringDoc OpenAPI

SpringDoc 是 Swagger 的替代方案，支持 OpenAPI 3.0，兼容 Spring Boot 2.6+ 和 3.x

考虑到注解变动大，需要调整的地方太多，这个方案不到万不得已不采用
修改路径匹配策略

如果不想降级 Spring Boot，可以调整路径匹配策略
```
spring:

  mvc:

    pathmatch:

      matching-strategy: ant_path_matcher
```
这个调整简单，感觉可行，试试发现雀氏可以，采用这种方案

Swagger 配置是否正确

确保 @EnableSwagger2 和 Docket 配置正确



@Configuration

@EnableSwagger2

public class SwaggerConfig {

    @Bean

    public Docket api() {

        return new Docket(DocumentationType.SWAGGER_2)

            .select()

            .apis(RequestHandlerSelectors.basePackage("com.your.package")) // 替换成你的 Controller 包名

            .paths(PathSelectors.any())

            .build();

    }

}

这个确定是配置正确的，不是这个问题

deepseek 还给了其他方案，大家可以结合自己的实际情况，看看方案是否适用。如果你们以为坑就这么填平了，那只能说你们还是太年轻啦

我再加个依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-actuator</artifactId>

</dependency>

启动服务，同样的问题又来了

org.springframework.context.ApplicationContextException: Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException

	at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:182)

	at org.springframework.context.support.DefaultLifecycleProcessor.access$200(DefaultLifecycleProcessor.java:54)

	at org.springframework.context.support.DefaultLifecycleProcessor$LifecycleGroup.start(DefaultLifecycleProcessor.java:357)

	at java.lang.Iterable.forEach(Iterable.java:75)

	at org.springframework.context.support.DefaultLifecycleProcessor.startBeans(DefaultLifecycleProcessor.java:156)

	at org.springframework.context.support.DefaultLifecycleProcessor.onRefresh(DefaultLifecycleProcessor.java:124)

	at org.springframework.context.support.AbstractApplicationContext.finishRefresh(AbstractApplicationContext.java:946)

	at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:594)

	at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:147)

	at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:732)

	at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:409)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:308)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1300)

	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1289)

	at com.qsl.Application.main(Application.java:16)

Caused by: java.lang.NullPointerException: null

	at springfox.documentation.spring.web.WebMvcPatternsRequestConditionWrapper.getPatterns(WebMvcPatternsRequestConditionWrapper.java:56)

	at springfox.documentation.RequestHandler.sortedPaths(RequestHandler.java:113)

	at springfox.documentation.spi.service.contexts.Orderings.lambda$byPatternsCondition$3(Orderings.java:89)

	at java.util.Comparator.lambda$comparing$77a9974f$1(Comparator.java:469)

	at java.util.TimSort.countRunAndMakeAscending(TimSort.java:355)

	at java.util.TimSort.sort(TimSort.java:220)

	at java.util.Arrays.sort(Arrays.java:1512)

	at java.util.ArrayList.sort(ArrayList.java:1454)

	at java.util.stream.SortedOps$RefSortingSink.end(SortedOps.java:387)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.Sink$ChainedReference.end(Sink.java:258)

	at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:482)

	at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471)

	at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708)

	at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234)

	at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499)

	at springfox.documentation.spring.web.plugins.WebMvcRequestHandlerProvider.requestHandlers(WebMvcRequestHandlerProvider.java:81)

	at java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:193)

	at java.util.ArrayList$ArrayListSpliterator.forEachRemaining(ArrayList.java:1374)

	at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:481)

	at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471)

	at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708)

	at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234)

	at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.withDefaults(AbstractDocumentationPluginsBootstrapper.java:107)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.buildContext(AbstractDocumentationPluginsBootstrapper.java:91)

	at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.bootstrapDocumentationPlugins(AbstractDocumentationPluginsBootstrapper.java:82)

	at springfox.documentation.spring.web.plugins.DocumentationPluginsBootstrapper.start(DocumentationPluginsBootstrapper.java:100)

	at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:179)

	... 14 common frames omitted

同个问题出现一次也就算了，换个方式出现第二次，有点欺负人了！

此时我们再去问 deepseek，给出的解决方案，尝试了都不对，好在在网上找到了解决方案，增加如下配置

@Configuration

@EnableSwagger2

public class SwaggerConfig {

    /**

     * springboot 2.7.x不支持swagger2，注册bean进行兼容

     * 该方法在Spring Boot 2.7.x中手动注册WebMvcEndpointHandlerMapping，用于解决Swagger无法直接访问Actuator端点的问题。下面详细说明其作用：

     * 1. 收集所有可暴露的端点

     * 使用以下组件获取不同类型的端点：

     * webEndpointsSupplier.getEndpoints()：获取所有基于Web的端点（如/actuator/health）。

     * servletEndpointsSupplier.getEndpoints()：获取Servlet类型的端点（如/actuator/servlet）。

     * controllerEndpointsSupplier.getEndpoints()：获取Controller类型的端点。

     * 将这些端点统一添加到allEndpoints列表中，以便后续处理。

     * 2. 设置端点的基础路径

     * 从WebEndpointProperties中获取配置的端点基础路径（basePath），默认值通常是/actuator。

     * 创建一个EndpointMapping对象，并传入基础路径，用于定义端点的URL映射规则。

     * 3. 判断是否需要注册端点链接映射

     * 判断条件如下：

     * 如果启用了端点发现（webEndpointProperties.getDiscovery().isEnabled()）。

     * 并且设置了有效的基础路径（StringUtils.hasText(basePath)），或者管理端口与应用端口不同（ManagementPortType.DIFFERENT）。

     * 如果满足条件，则创建端点链接映射，用于生成包含所有可用端点的首页链接（例如/actuator）。

     * 4. 构建并返回WebMvcEndpointHandlerMapping

     * 创建WebMvcEndpointHandlerMapping实例时传入以下参数：

     * endpointMapping：定义端点的基础路径。

     * webEndpoints：需要注册的Web类型端点集合。

     * endpointMediaTypes：定义端点支持的媒体类型（如JSON、YAML等）。

     * corsConfiguration：跨域资源共享（CORS）配置。

     * new EndpointLinksResolver(allEndpoints, basePath)：用于生成端点链接的解析器。

     * shouldRegisterLinksMapping：是否注册端点链接映射。

     * null：通常用于指定自定义的请求谓词，此处为默认值。

     * 返回的WebMvcEndpointHandlerMapping使Swagger能够正常访问和展示Actuator端点的信息。

     * 5. 兼容性适配

     * Spring Boot 2.7.x之后，Swagger 2不再直接支持访问Actuator端点，此方法通过手动注册WebMvcEndpointHandlerMapping来恢复兼容性，确保Swagger UI可以正确显示和调用这些监控和管理接口。

     * 总结

     * 此方法的核心目的是手动注册端点处理器映射，以确保Swagger能够正确访问Spring Boot Actuator提供的各种监控和管理端点。通过整合多种端点类型、设置基础路径、启用链接映射等方式，使得开发者能够在Swagger UI中方便地测试和使用这些端点。

     */

    @Bean

    public WebMvcEndpointHandlerMapping webEndpointServletHandlerMapping(WebEndpointsSupplier webEndpointsSupplier,

                                                                         ServletEndpointsSupplier servletEndpointsSupplier,

                                                                         ControllerEndpointsSupplier controllerEndpointsSupplier,

                                                                         EndpointMediaTypes endpointMediaTypes,

                                                                         CorsEndpointProperties corsProperties,

                                                                         WebEndpointProperties webEndpointProperties,

                                                                         Environment environment) {

        List<ExposableEndpoint<?>> allEndpoints = new ArrayList<>();

        Collection<ExposableWebEndpoint> webEndpoints = webEndpointsSupplier.getEndpoints();

        allEndpoints.addAll(webEndpoints);

        allEndpoints.addAll(servletEndpointsSupplier.getEndpoints());

        allEndpoints.addAll(controllerEndpointsSupplier.getEndpoints());

        String basePath = webEndpointProperties.getBasePath();

        EndpointMapping endpointMapping = new EndpointMapping(basePath);

        boolean shouldRegisterLinksMapping =

                webEndpointProperties.getDiscovery().isEnabled() && (StringUtils.hasText(basePath)

                        || ManagementPortType.get(environment).equals(ManagementPortType.DIFFERENT));

        return new WebMvcEndpointHandlerMapping(endpointMapping, webEndpoints, endpointMediaTypes,

                corsProperties.toCorsConfiguration(), new EndpointLinksResolver(allEndpoints, basePath),

                shouldRegisterLinksMapping, null);

    }

}

启动服务，不再报错，Swagger UI 也能正常访问

也许你们会觉得这个坑解决的也快呀，没什么大不了的，可实际是项目中有众多的依赖，你如何知道是因为 spring-boot-starter-actuator 导致的？我实际排查这个问题的过程，可不是如上所说的那般容易，但有一点我们要清楚

我们遇到的坑，肯定有前辈遇到过

所以我们要做的是想清楚关键词，到大数据模型搜索，或者到搜索引擎搜索

总结

归根结底，还是 Springfox 没有去适配 Spring Boot 的升级，所以可能的话，还是推荐大家用 SpringDoc OpenAPI
不到万不得已，不要去升级组件

坑我已经替你们踩过

都说了能不动就别动，非要去调整，出生产事故了吧

都说了能不动就别动，非要去调整，出生产事故了吧 → 补充

都是血的教训，希望大家引以为戒
遇到问题，当下推荐的做法是用 大数据模型，关键词给的好，得到的回答八九不离十就是正确的解决方案

参考

SpringBoot 2.7.x 整合 swagger2 冲突问题

Swagger与SpringBoot冲突