인증없이 Swagger URL에 액세스 할 수 있도록 Spring Security를 ​​구성하는 방법

92

내 프로젝트에는 Spring Security가 있습니다. 주요 문제 : http : // localhost : 8080 / api / v2 / api-docs 에서 swagger URL에 액세스 할 수 없습니다 . 인증 헤더가 없거나 잘못되었습니다.

브라우저 창의 스크린 샷 My pom.xml에는 다음 항목이 있습니다.

<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.4.0</version>
</dependency>

<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.4.0</version>
</dependency>

SwaggerConfig :

@Configuration
@EnableSwagger2
public class SwaggerConfig {

@Bean
public Docket api() {
    return new Docket(DocumentationType.SWAGGER_2).select()
            .apis(RequestHandlerSelectors.any())
            .paths(PathSelectors.any())
            .build()
            .apiInfo(apiInfo());
}

private ApiInfo apiInfo() {
    ApiInfo apiInfo = new ApiInfo("My REST API", "Some custom description of API.", "API TOS", "Terms of service", "myeaddress@company.com", "License of API", "API license URL");
    return apiInfo;
}

AppConfig :

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = { "com.musigma.esp2" })
@Import(SwaggerConfig.class)
public class AppConfig extends WebMvcConfigurerAdapter {

// ========= Overrides ===========

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LocaleChangeInterceptor());
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

web.xml 항목 :

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        com.musigma.esp2.configuration.AppConfig
        com.musigma.esp2.configuration.WebSecurityConfiguration
        com.musigma.esp2.configuration.PersistenceConfig
        com.musigma.esp2.configuration.ACLConfig
        com.musigma.esp2.configuration.SwaggerConfig
    </param-value>
</context-param>

WebSecurityConfig :

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan(basePackages = { "com.musigma.esp2.service", "com.musigma.esp2.security" })
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
        .csrf()
            .disable()
        .exceptionHandling()
            .authenticationEntryPoint(this.unauthorizedHandler)
            .and()
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
        .authorizeRequests()
            .antMatchers("/auth/login", "/auth/logout").permitAll()
            .antMatchers("/api/**").authenticated()
            .anyRequest().authenticated();

        // custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication
        httpSecurity.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class);

        // custom Token based authentication based on the header previously given to the client
        httpSecurity.addFilterBefore(new StatelessTokenAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class);
    }
}
spring-mvc  swagger  swagger-ui  swagger-2.0  springfox 
shubhendu_shekhar
소스

답변:

176

이것을 WebSecurityConfiguration 클래스에 추가하면 트릭을 수행 할 수 있습니다.

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/v2/api-docs",
                                   "/configuration/ui",
                                   "/swagger-resources/**",
                                   "/configuration/security",
                                   "/swagger-ui.html",
                                   "/webjars/**");
    }

}
Stijn Maller
소스
11
swagger-ui를 사용하는 경우 다음과 같은 것이 필요합니다. .antMatchers ( "/ v2 / api-docs", "/ configuration / ui", "/ swagger-resources", "/ configuration / security", "/ swagger-ui .html ","/ webjars / ** ","/ swagger-resources / configuration / ui ","/ swagger-ui.html "). permitAll ()
Daniel Martín
2
제 경우에는이 규칙이 작동합니다 : .antMatchers ( "/ v2 / api-docs", "/ configuration / ui", "/ swagger-resources", "/ configuration / security", "/swagger-ui.html", "/ webjars / **", "/ swagger-resources / configuration / ui", "/ swagge‌ r-ui.html", "/ swagger-resources / configuration / security"). permitAll ()
nikolai.serdiuk
6
추가 규칙 필요 : .antMatchers ( "/", "/ csrf", "/ v2 / api-docs", "/ swagger-resources / configuration / ui", "/ configuration / ui", "/ swagger-resources", "/ 자신감 - 자원 / 구성 / 보안", "/ 구성 / 보안", "/swagger-ui.html", "/ webjars / **") permitAll ().
Šimović 메이트
5
답변 해주셔서 감사합니다! webjars / **에 대한 액세스를 허용하는 보안 위험이 있습니까?
ssimm
매우 유용한 답변
Praveenkumar Beedanal
26

나는 / configuration / ** 및 / swagger-resources / **로 업데이트했으며 저에게 효과적이었습니다.

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**");

}
악 샤타 수 바르나
소스
완전한! 문제를 해결했습니다.
Madhu
24

Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0을 사용하여 동일한 문제가 발생했습니다. 그리고 Swagger UI 리소스에 대한 공개 액세스를 허용하는 다음 보안 구성을 사용하여 문제를 해결했습니다.

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private static final String[] AUTH_WHITELIST = {
            // -- swagger ui
            "/v2/api-docs",
            "/swagger-resources",
            "/swagger-resources/**",
            "/configuration/ui",
            "/configuration/security",
            "/swagger-ui.html",
            "/webjars/**"
            // other public endpoints of your API may be appended to this array
    };


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                // ... here goes your custom security configuration
                authorizeRequests().
                antMatchers(AUTH_WHITELIST).permitAll().  // whitelist Swagger UI resources
                // ... here goes your custom security configuration
                antMatchers("/**").authenticated();  // require authentication for any endpoint that's not whitelisted
    }

}
naXa
소스
2
이 클래스를 추가 한 후, 나는 자신감-UI를 볼 수 있어요하지만 API는, 다음과 같이 접근 금지 오류가 발생, 심지어 access_token과 함께 우편 배달부를 통해 액세스되지 않습니다{ "timestamp": 1519798917075, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "/<some path>/shop" }
Chandrakant Audhutwar
@ChandrakantAudhutwar antMatchers("/**").authenticated()문을 삭제 하거나 자신의 인증 구성으로 바꿉니다 . 조심하세요. 보안으로 무엇을하고 있는지 더 잘 알 수 있습니다.
naXa
예, 작동했습니다. 나는 swagger-ui 만 우회하려고 생각했지만 다른 API는 보안이 유지됩니다. 이제 내 API도 우회됩니다.
Chandrakant Audhutwar
@ChandrakantAudhutwar에서는 전체 SecurityConfiguration클래스를 프로젝트 에 복사하여 붙여 넣을 필요가 없습니다 . SecurityConfigurationSwagger UI 리소스에 대한 요청을 허용하고 API를 안전하게 유지하는 고유 한 위치 가 있어야합니다 .
naXa
AuthorizationServerConfigurerAdapterAPI 인증 을 하는 클래스를 구현했습니다.
Chandrakant Audhutwar
12

최신 swagger 3 버전을 사용하는 사람들을 위해 org.springdoc:springdoc-openapi-ui

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/v3/api-docs/**", "/swagger-ui.html", "/swagger-ui/**");
    }
}
데니스 글롯
소스
1
참고 : 이로 인해 "인증 필요"오류가 표시되지 않지만 빈 페이지 만 표시되는 경우 해당 목록에 "/ swagger-resources / **"및 "/ swagger-resources"도 추가해야했고 문제가 해결되었습니다. 나를 위해.
Vinícius M
5

Springfox 버전이 2.5보다 높은 경우 아래와 같이 WebSecurityConfiguration을 추가해야합니다.

@Override
public void configure(HttpSecurity http) throws Exception {
    // TODO Auto-generated method stub
    http.authorizeRequests()
        .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll()
        .and()
        .authorizeRequests()
        .anyRequest()
        .authenticated()
        .and()
        .csrf().disable();
}
duliu1990
소스
duliu1990은 맞습니다. springfox 2.5 이상부터 모든 springfox 리소스 (swagger 포함)가 /swagger-resources. /v2/api-docs는 config 변수로 대체 할 수 있습니다합니다 (UI와 염려의) 기본 자신감 API를 엔드 포인트입니다 springfox.documentation.swagger.v2.path springfox는
Mahieddine M. Ichir
3

이 페이지에는 답이 있지만 모두 한곳에 없습니다. 나는 같은 문제를 다루고 있었고 그것에 대해 꽤 많은 시간을 보냈습니다. 이제 더 잘 이해했으며 여기에서 공유하고 싶습니다.

Spring 웹 보안으로 Swagger UI 활성화 :

기본적으로 Spring Websecurity를 ​​활성화 한 경우 애플리케이션에 대한 모든 요청을 차단하고 401을 반환합니다. 그러나 swagger ui가 브라우저에로드하려면 swagger-ui.html은 데이터를 수집하기 위해 여러 번 호출합니다. 디버깅하는 가장 좋은 방법은 브라우저 (예 : Google 크롬)에서 swagger-ui.html을 열고 개발자 옵션 ( 'F12'키)을 사용하는 것입니다. 페이지가로드 될 때 여러 호출이 수행되고 swagger-ui가 완전히로드되지 않으면 일부 호출이 실패하는 것을 볼 수 있습니다.

Spring websecurity에 여러 가지 경로 패턴에 대한 인증을 무시하도록 지시해야 할 수도 있습니다. 나는 swagger-ui 2.9.2를 사용하고 있으며 아래의 경우 무시해야 할 패턴이 있습니다.

그러나 다른 버전을 사용하는 경우 변경 될 수 있습니다. 이전에 말했듯이 브라우저의 개발자 옵션으로 자신을 찾아야 할 수도 있습니다.

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}
}

II 인터셉터로 Swagger UI 활성화

일반적으로 swagger-ui.html에서 만든 요청을 가로 채고 싶지 않을 수 있습니다. 아래 코드는 여러 패턴을 제외하는 것입니다.

웹 보안 및 인터셉터에 대한 대부분의 경우 패턴은 동일합니다. 

@Configuration
@EnableWebMvc
public class RetrieveCiamInterceptorConfiguration implements WebMvcConfigurer {

@Autowired
RetrieveInterceptor validationInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry) {

    registry.addInterceptor(validationInterceptor).addPathPatterns("/**")
    .excludePathPatterns("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

}

인터셉터를 추가하려면 @EnableWebMvc를 활성화해야 할 수 있으므로 위의 코드 조각에서 수행 한 것과 유사한 리소스 처리기를 추가해야 할 수도 있습니다.

Chanderdevx
소스
/csrf제외 항목 을 추가하는 이유는 무엇 입니까?
Vishal
2

Swagger 관련 리소스로만 제한 : 

.antMatchers("/v2/api-docs", "/swagger-resources/**", "/swagger-ui.html", "/webjars/springfox-swagger-ui/**");
m52509791
소스
2

다음 은 Spring Security가 포함 된 Swagger 의 완벽한 솔루션입니다 . 개발 및 QA 환경에서만 Swagger를 활성화하고 프로덕션 환경에서는 비활성화 할 수 있습니다. 그래서 prop.swagger.enabled개발 / QA 환경에서만 swagger-ui에 대한 스프링 보안 인증을 우회하는 플래그로 속성 ( )을 사용하고 있습니다.

@Configuration
@EnableSwagger2
public class SwaggerConfiguration extends WebSecurityConfigurerAdapter implements WebMvcConfigurer {

@Value("${prop.swagger.enabled:false}")
private boolean enableSwagger;

@Bean
public Docket SwaggerConfig() {
    return new Docket(DocumentationType.SWAGGER_2)
            .enable(enableSwagger)
            .select()
            .apis(RequestHandlerSelectors.basePackage("com.your.controller"))
            .paths(PathSelectors.any())
            .build();
}

@Override
public void configure(WebSecurity web) throws Exception {
    if (enableSwagger)  
        web.ignoring().antMatchers("/v2/api-docs",
                               "/configuration/ui",
                               "/swagger-resources/**",
                               "/configuration/security",
                               "/swagger-ui.html",
                               "/webjars/**");
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    if (enableSwagger) {
        registry.addResourceHandler("swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");
    }
  }
}
압둘 라만
소스
1

저는 Spring Boot 5를 사용하고 있습니다. 인증되지 않은 사용자가 호출 할이 컨트롤러가 있습니다. 

  //Builds a form to send to devices   
@RequestMapping(value = "/{id}/ViewFormit", method = RequestMethod.GET)
@ResponseBody
String doFormIT(@PathVariable String id) {
    try
    {
        //Get a list of forms applicable to the current user
        FormService parent = new FormService();

다음은 구성에서 내가 한 일입니다. 

  @Override
   protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers(
                    "/registration**",
                    "/{^[\\\\d]$}/ViewFormit",

도움이 되었기를 바랍니다....

smac2020
소스
0

URL 패턴이있는 모든 API 요청을 고려 /api/..하면 아래 구성을 사용하여이 URL 패턴 만 보호하도록 spring에 알릴 수 있습니다. 이것은 당신이 무엇을 무시하는 대신에 무엇을 확보해야하는지 봄에 말하고 있다는 것을 의미합니다.

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .csrf().disable()
     .authorizeRequests()
      .antMatchers("/api/**").authenticated()
      .anyRequest().permitAll()
      .and()
    .httpBasic().and()
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
Siddu
소스
1
제한된 단기적인 도움을 제공 할 수있는이 코드 스 니펫에 감사드립니다. 적절한 설명 이것이 문제에 대한 좋은 해결책 인 이유 를 보여줌으로써 장기적인 가치를 크게 향상시키고 다른 유사한 질문을 가진 미래의 독자에게 더 유용하게 만들 것입니다. 제발 편집 당신이 만든 가정 등 일부 설명을 추가 할 답변을.
Toby Speight 2018 년
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.