限制对Swager UI的访问

时间:2016-08-24 01:15:59

标签: spring security spring-boot swagger-ui swagger-2.0

我有使用spring-boot的swagger UI。我有一个针对我的spring rest api的无状态身份验证设置,它根据每个api路径的角色进行限制。

但是,我不确定如何将<server_url>/swagger-ui.html置于基本身份验证之后。

更新

我遵循通过WebSecurityConfig

配置的websecurity 
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    httpSecurity
            .csrf().disable()
            .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .authorizeRequests()
            .antMatchers("/sysadmin/**").hasRole("SYSADMIN")
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/siteadmin/**").hasRole("SITEADMIN")
            .antMatchers("/api/**").hasRole("USER")
            .anyRequest().permitAll();

    // Custom JWT based security filter
    httpSecurity
            .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

}

2 个答案:

答案 0 :(得分:0)

一个不太了解您的配置的建议来自这个SO问题。

https://stackoverflow.com/a/24920752/1499549

这里有您更新的问题详细信息,您可以添加一些示例:

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    httpSecurity
            .csrf().disable()
            .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .authorizeRequests()
            .antMatchers("/sysadmin/**").hasRole("SYSADMIN")
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/siteadmin/**").hasRole("SITEADMIN")
            .antMatchers("/api/**").hasRole("USER")
            // add the specific swagger page to the security
            .antMatchers("/swagger-ui.html").hasRole("USER")
            .anyRequest().permitAll();

    // Custom JWT based security filter
    httpSecurity
            .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

}

这个问题是它只保护Swagger UI页面而不保护从该UI页面加载为.json文件的API规范。

更好的方法是将swagger文件放在路径下,以便您只需添加antMatchers("/swagger/**").hasRole("USER")

答案 1 :(得分:0)

回答有点晚。我进行了一个小型 POC 来执行相同的操作。我正在使用 Keycloak 和 Spring Security。下面是我的配置

http
                .antMatcher("/**").authorizeRequests()
                .antMatchers("/swagger-resources/**","/swagger-ui.html**","/swagger-ui/").hasRole("admin")
                .anyRequest().authenticated()
                .and()
                .exceptionHandling()
                .accessDeniedHandler(new AccessDeniedHandlerImpl())
                .defaultAuthenticationEntryPointFor(authenticationEntryPoint(), new CustomRequestMatcher(AUTH_LIST))
                .and()
                .httpBasic()
                .authenticationEntryPoint(restAuthenticationEntryPoint)
                .and()
                .csrf().disable()
                .logout()
                    .logoutUrl("/logout")
                    .invalidateHttpSession(true)
                    .clearAuthentication(true)
                    .addLogoutHandler(keycloakLogoutHandler());

我有一个工作示例 here

相关问题
最新问题