Swagger + Spring安全性 - 隐藏基于角色的方法

时间:2017-01-03 13:59:31

标签: spring-security swagger spring-rest springfox

我有一个拥有不同消费者的api。我希望他们根据他们在春季安全中的角色获取相关文档。

E.g

Api操作A受限于角色A和角色B

Api操作B受限于角色B

Api操作C对所有人开放

我正在使用springfox,spring 4,spring rest,security

我知道有一个名为@ApiIgnore的注释,也许可以使用它。

这一切都可能吗?

4 个答案:

答案 0 :(得分:0)

经过一番搜索,我发现网上没有办法解决这个问题。所以我用自己的解决方案解决了。

我编写了一个过滤器,用于修改响应并删除用户无法访问的api。

过滤器是这样的:

 @Override
 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest httpServletRequest = (HttpServletRequest) request;
    String url = httpServletRequest.getRequestURI();
        if (url.contains("v2/api-docs")) {
            CharResponseWrapper wrapper = new CharResponseWrapper((HttpServletResponse) response);
            chain.doFilter(httpServletRequest, wrapper);
            refineApiBaseOnACL(wrapper);
            return;
        }
    chain.doFilter(httpServletRequest, response);
}

要修改响应,请遵循this link

然后我们需要优化生成的api:

private List<String> httpCommands = List.of("get", "head", "post", "put", "delete", "options", "patch");

public void refineApiBaseOnACL(CharResponseWrapper wrapper) {
    try {
        byte[] bytes = wrapper.getByteArray();

        if (wrapper.getContentType().contains("application/json")) {
            String out = refineContentBaseOnACL(new String(bytes));
            wrapper.getResponse().getOutputStream().write(out.getBytes());
        } else {
            wrapper.getResponse().getOutputStream().write(bytes);
        }
    } catch (Exception e) {
        e.printStackTrace();
    }
}

private String refineContentBaseOnACL(String originalContent) {
    JSONObject object = new JSONObject(originalContent);
    JSONObject paths = object.getJSONObject("paths");
    JSONArray tags = object.getJSONArray("tags");

    Iterator keys = paths.keys();
    Set<String> toRemovePath = new HashSet<>();
    Set<Integer> toRemoveTags = new HashSet<>();
    Set<String> tagSet = new HashSet<>();
    while (keys.hasNext()) {
        String key = (String) keys.next();
        String[] split = key.split("/");
        if (!getAccessHandler().checkAccessRest(split[1], split[2]))
            toRemovePath.add(key);
        else {
            for (String httpCommand : httpCommands)
                if (paths.getJSONObject(key).has(httpCommand)) {
                    JSONObject command = paths.getJSONObject(key).getJSONObject(httpCommand);
                    JSONArray tagsArray = command.getJSONArray("tags");
                    for (int i = 0; i < tagsArray.length(); i++)
                        tagSet.add(tagsArray.getString(i));
                }
        }
    }

    for (String key : toRemovePath)
        paths.remove(key);

    for (int i = 0; i < tags.length(); i++)
        if (!tagSet.contains(tags.getJSONObject(i).getString("name")))
            toRemoveTags.add(i);

    List<Integer> sortedTags = new ArrayList<>(toRemoveTags);
    sortedTags.sort(Collections.reverseOrder());
    for (Integer key : sortedTags)
        tags.remove(key);


    Pattern modelPattern = Pattern.compile("\"#/definitions/(.*?)\"");
    Set<String> modelSet = new HashSet<>();
    Matcher matcher = modelPattern.matcher(object.toString());
    while (matcher.find())
        modelSet.add(matcher.group(1));

    JSONObject definitions = object.getJSONObject("definitions");
    Set<String> toRemoveModel = new HashSet<>();
    Iterator definitionModel = definitions.keys();
    while (definitionModel.hasNext()) {
        String definition = (String) definitionModel.next();
        boolean found = false;
        for (String model : modelSet)
            if (definition.equals(model)) {
                found = true;
                break;
            }
        if (!found)
            toRemoveModel.add(definition);
    }

    for (String model : toRemoveModel) {
        definitions.remove(model);
    }

    return object.toString();
}

在我的情况下,我有一个AccessHandler来处理带有URL的访问控制。您应该在逻辑上写本节。 对于spring安全角色,您可以使用如下代码:

request.isUserInRole("Role_A");

答案 1 :(得分:0)

我已经发布了类似的问题,并找到了解决方案。由于我在stackoverflow上发现了3个类似的问题,因此我不知道该只复制所有问题的答案,还是提供指向我答案的链接。

解决方案包括两部分:

  1. 通过OperationBuilderPlugin扩展控制器扫描逻辑以保留Swagger供应商扩展中的角色
  2. 覆盖ServiceModelToSwagger2MapperImpl bean,以根据当前的安全上下文过滤出操作

详细信息可以在这里找到:https://stackoverflow.com/a/61860729/285060

答案 2 :(得分:-2)

  

块引用   您可以在安全配置文件中使用以下代码段,并且需要扩展GlobalMethodSecurityConfiguration。

@Autowired     Auth2ServerConfiguration auth2ServerConfiguration; 

 @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new OAuth2MethodSecurityExpressionHandler();
    }

在API中使用以下代码如下

@PreAuthorize("hasRole('ROLE_ADMIN') and hasRole('ROLE_USER')")
@Transactional(readOnly = true)
 public @ResponseBody ModelAndView abc()  {
    //do something
  }

答案 3 :(得分:-4)

您可能已经看过这个,但SpringFox本身提供了配置安全性的机制。请参阅SpringFox官方文档中的this sectionthis section的示例(注意第14和第15点)。

如果您愿意允许不同的消费者查看API,但仍然无法执行API,您可以考虑在具有相应角色的API上添加@Secured注释。

例如:

@Secured ({"ROLE_A", "ROLE_B")
@RequestMapping ("/open/to/both")
public String operationA() {
    // do something
}

@Secured ("ROLE_B")
@RequestMapping ("/open/to/b/only")
public String operationB() {
    // do something
}

// No @Secured annotation here
@RequestMapping ("/open/to/all")
public String operationC() {
    // do something
}

确保您已在@EnableGlobalMethodSecurity (securedEnabled = true)课程中添加SecurityConfig(或您拥有的任何课程),以便@Secured能够正常工作。

相关问题
最新问题