Swagger URLに認証なしでアクセスできるようにSpring Securityを構成する方法

Question

私のプロジェクトにはSpring Securityがあります。主な問題： http：// localhost：8080/api/v2/api-docs でswagger URLにアクセスできません。 Authorizationヘッダーが見つからないか無効です。

ブラウザウィンドウのスクリーンショット私のpom.xmlには次のエントリがあります

<dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.4.0</version> </dependency> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>2.4.0</version> </dependency>

SwaggerConfig：

@Configuration @EnableSwagger2 public class SwaggerConfig { @Bean public Docket api() { return new Docket(DocumentationType.SWAGGER_2).select() .apis(RequestHandlerSelectors.any()) .paths(PathSelectors.any()) .build() .apiInfo(apiInfo()); } private ApiInfo apiInfo() { ApiInfo apiInfo = new ApiInfo("My REST API", "Some custom description of API.", "API TOS", "Terms of service", "myeaddress@company.com", "License of API", "API license URL"); return apiInfo; }

AppConfig：

@Configuration @EnableWebMvc @ComponentScan(basePackages = { "com.musigma.esp2" }) @Import(SwaggerConfig.class) public class AppConfig extends WebMvcConfigurerAdapter { // ========= Overrides =========== @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LocaleChangeInterceptor()); } @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("swagger-ui.html") .addResourceLocations("classpath:/META-INF/resources/"); registry.addResourceHandler("/webjars/**") .addResourceLocations("classpath:/META-INF/resources/webjars/"); }

web.xmlエントリ：

<context-param> <param-name>contextConfigLocation</param-name> <param-value> com.musigma.esp2.configuration.AppConfig com.musigma.esp2.configuration.WebSecurityConfiguration com.musigma.esp2.configuration.PersistenceConfig com.musigma.esp2.configuration.ACLConfig com.musigma.esp2.configuration.SwaggerConfig </param-value> </context-param>

WebSecurityConfig：

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) @ComponentScan(basePackages = { "com.musigma.esp2.service", "com.musigma.esp2.security" }) public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity .csrf() .disable() .exceptionHandling() .authenticationEntryPoint(this.unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/auth/login", "/auth/logout").permitAll() .antMatchers("/api/**").authenticated() .anyRequest().authenticated(); // custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication httpSecurity.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class); // custom Token based authentication based on the header previously given to the client httpSecurity.addFilterBefore(new StatelessTokenAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class); } }

Stijn Maller · Accepted Answer

これをWebSecurityConfigurationクラスに追加するとうまくいくはずです。

@Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/security", "/swagger-ui.html", "/webjars/**"); } }

Akshata Suvarna · Answer

/ configuration/**と/ swagger-resources/**で更新しましたが、うまくいきました。

@Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**"); }

naXa · Answer

Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0を使用しても同じ問題が発生しました。 Swagger UIリソースへのパブリックアクセスを許可する次のセキュリティ構成を使用して、問題を解決しました。

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { private static final String[] AUTH_WHITELIST = { // -- swagger ui "/v2/api-docs", "/swagger-resources", "/swagger-resources/**", "/configuration/ui", "/configuration/security", "/swagger-ui.html", "/webjars/**" // other public endpoints of your API may be appended to this array }; @Override protected void configure(HttpSecurity http) throws Exception { http. // ... here goes your custom security configuration authorizeRequests(). antMatchers(AUTH_WHITELIST).permitAll(). // whitelist Swagger UI resources // ... here goes your custom security configuration antMatchers("/**").authenticated(); // require authentication for any endpoint that's not whitelisted } }

duliu1990 · Answer

ご使用のspringfoxバージョンが2.5よりも高い場合、以下のようにWebSecurityConfigurationを追加する必要があります。

@Override public void configure(HttpSecurity http) throws Exception { // TODO Auto-generated method stub http.authorizeRequests() .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll() .and() .authorizeRequests() .anyRequest() .authenticated() .and() .csrf().disable(); }

chanderdevx · Answer

このページには多かれ少なかれ回答がありますが、すべてが1つの場所にあるわけではありません。私は同じ問題を扱っていて、それにかなりの時間を費やしました。今、私はよりよく理解しており、ここでそれを共有したいと思います：

I Spring SwingでSwagger UIを有効にする：

Spring Websecurityをデフォルトで有効にした場合、アプリケーションへのすべてのリクエストがブロックされ、401が返されます。ただし、swagger uiがブラウザにロードされると、swagger-ui.htmlはデータを収集するためにいくつかの呼び出しを行います。デバッグする最善の方法は、ブラウザでswagger-ui.html（google chromeなど）を開き、開発者オプション（ 'F12'キー）を使用することです。ページの読み込み時に行われたいくつかの呼び出しを見ることができ、swagger-uiが完全に読み込まれていない場合、おそらくそれらのいくつかが失敗しています。

spring websecurityにいくつかのスワッガーパスパターンの認証を無視するよう指示する必要がある場合があります。私はswagger-ui 2.9.2を使用していますが、私の場合は以下のパターンを無視する必要があります。

ただし、異なるバージョンを使用している場合は変更される可能性があります。前に言ったように、ブラウザで開発者オプションを使用して自分のものを把握する必要があるかもしれません。

@Configuration public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html" , "/webjars/**", "/csrf", "/"); } }

IIインターセプターを使用したSwagger UIの有効化

通常、swagger-ui.htmlによって行われた要求をインターセプトしたくない場合があります。以下のswaggerのいくつかのパターンを除外するコードは次のとおりです。

Webセキュリティとインターセプターのほとんどのケースパターンは同じです。

@Configuration @EnableWebMvc public class RetrieveCiamInterceptorConfiguration implements WebMvcConfigurer { @Autowired RetrieveInterceptor validationInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(validationInterceptor).addPathPatterns("/**") .excludePathPatterns("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html" , "/webjars/**", "/csrf", "/"); } @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("swagger-ui.html") .addResourceLocations("classpath:/META-INF/resources/"); registry.addResourceHandler("/webjars/**") .addResourceLocations("classpath:/META-INF/resources/webjars/"); } }

@EnableWebMvcを有効にしてインターセプターを追加する必要がある場合があるため、上記のコードスニペットで行ったのと同様に、リソースハンドラーをswaggerに追加する必要があります。

Siddu · Answer

/api/..のURLパターンで配置されたすべてのAPIリクエストを考慮すると、以下の構成を使用して、このURLパターンのみを保護するようにSpringに指示できます。つまり、何を無視するのではなく、何を保護するかを春に伝えているということです。

@Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll() .and() .httpBasic().and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); }