139 votes

shubhendu_shekhar avatar

Comment configurer Spring Security pour autoriser l'accès aux URL Swagger sans authentification ?

Demandé el 7 de Juin, 2016
Quand la question a-t-elle été
37224 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon projet utilise Spring Security. Principal problème : Impossible d'accéder à l'URL de swagger à l'adresse suivante http://localhost:8080/api/v2/api-docs . Il est dit "En-tête d'autorisation manquant ou invalide".

Capture d'écran de la fenêtre du navigateur Mon pom.xml contient les entrées suivantes

<dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger2</artifactId>
        <version>2.4.0</version>
    </dependency>

    <dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger-ui</artifactId>
        <version>2.4.0</version>
    </dependency>

SwaggerConfig :

@Configuration
@EnableSwagger2
public class SwaggerConfig {

@Bean
public Docket api() {
    return new Docket(DocumentationType.SWAGGER_2).select()
            .apis(RequestHandlerSelectors.any())
            .paths(PathSelectors.any())
            .build()
            .apiInfo(apiInfo());
}

private ApiInfo apiInfo() {
    ApiInfo apiInfo = new ApiInfo("My REST API", "Some custom description of API.", "API TOS", "Terms of service", "myeaddress@company.com", "License of API", "API license URL");
    return apiInfo;
}

AppConfig :

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = { "com.musigma.esp2" })
@Import(SwaggerConfig.class)
public class AppConfig extends WebMvcConfigurerAdapter {

// ========= Overrides ===========

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new LocaleChangeInterceptor());
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

entrées web.xml :

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        com.musigma.esp2.configuration.AppConfig
        com.musigma.esp2.configuration.WebSecurityConfiguration
        com.musigma.esp2.configuration.PersistenceConfig
        com.musigma.esp2.configuration.ACLConfig
        com.musigma.esp2.configuration.SwaggerConfig
    </param-value>
</context-param>

WebSecurityConfig :

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan(basePackages = { "com.musigma.esp2.service", "com.musigma.esp2.security" })
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
        .csrf()
            .disable()
        .exceptionHandling()
            .authenticationEntryPoint(this.unauthorizedHandler)
            .and()
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
        .authorizeRequests()
            .antMatchers("/auth/login", "/auth/logout").permitAll()
            .antMatchers("/api/**").authenticated()
            .anyRequest().authenticated();

        // custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication
        httpSecurity.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class);

        // custom Token based authentication based on the header previously given to the client
        httpSecurity.addFilterBefore(new StatelessTokenAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class);
    }
}
Demandé el 7 de Juin, 2016 par shubhendu_shekhar

Réponses

Trop de publicités?

238voto

Stijn Maller avatar
Stijn Maller Points 1281

L'ajout de cet élément à votre classe WebSecurityConfiguration devrait faire l'affaire.

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources", "/configuration/security", "/swagger-ui.html", "/webjars/**");
    }

}
Répondu el 7 de Juin, 2016 par Stijn Maller (1281 Points )

15 votes

Avatar de Daniel Martín

Si vous utilisez swagger-ui, vous avez besoin de quelque chose comme ceci : .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources", "/configuration/security", "/swagger-ui.html", "/webjars/**", "/swagger-resources/configuration/ui", "/swagger-ui.html").permitAll()

Commenté el 23 de Janvier, 2017 par Daniel Martín

2 votes

Avatar de nikolai.serdiuk

Dans mon cas, cette règle fonctionne : .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources", "/configuration/security", "/swagger-ui.html", "/webjars/**", "/swagger-resources/configuration/ui", "/swagger-ui.html", "/swagger-resources/configuration/security").permitAll()

Commenté el 2 de Mars, 2017 par nikolai.serdiuk

6 votes

Avatar de Mate Šimović

Besoin de plus de règles : .antMatchers("/", "/csrf", "/v2/api-docs", "/swagger-resources/configuration/ui", "/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll()

Commenté el 10 de Juillet, 2018 par Mate Šimović
Afficher 4 autres commentaires

90voto

naXa avatar
naXa Points 862

J'ai eu le même problème en utilisant Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0. Et j'ai résolu le problème en utilisant la configuration de sécurité suivante qui autorise l'accès public aux ressources de l'interface utilisateur Swagger.

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private static final String[] AUTH_WHITELIST = {
            // -- swagger ui
            "/v2/api-docs",
            "/swagger-resources",
            "/swagger-resources/**",
            "/configuration/ui",
            "/configuration/security",
            "/swagger-ui.html",
            "/webjars/**"
            // other public endpoints of your API may be appended to this array
    };

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                // ... here goes your custom security configuration
                authorizeRequests().
                antMatchers(AUTH_WHITELIST).permitAll().  // whitelist Swagger UI resources
                // ... here goes your custom security configuration
                antMatchers("/**").authenticated();  // require authentication for any endpoint that's not whitelisted
    }

}
Répondu el 25 de Février, 2018 par naXa (862 Points )

3 votes

Avatar de Chandrakant Audhutwar

Après avoir ajouté cette classe, je suis capable de voir swagger-ui mais les APIs ne sont pas accessibles via postman même avec access_token, obtenant l'erreur access forbidden comme ci-dessous, { "timestamp": 1519798917075, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "/<some path>/shop" }

Commenté el 28 de Février, 2018 par Chandrakant Audhutwar

1 votes

Avatar de naXa

@ChandrakantAudhutwar supprimer antMatchers("/**").authenticated() ou le remplacer par votre propre configuration d'authentification. Attention, il vaut mieux savoir ce que l'on fait en matière de sécurité.

Commenté el 28 de Février, 2018 par naXa

1 votes

Avatar de Chandrakant Audhutwar

Oui, ça a marché. Je pensais seulement contourner swagger-ui, mais d'autres API comme il est sécurisé. maintenant mes API sont aussi contournées.

Commenté el 28 de Février, 2018 par Chandrakant Audhutwar
Afficher 6 autres commentaires

33voto

Akshata Suvarna avatar
Akshata Suvarna Points 141

J'ai mis à jour avec /configuration/** et /swagger-resources/** et cela a fonctionné pour moi.

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**");

}
Répondu el 9 de Août, 2017 par Akshata Suvarna (141 Points )

0 votes

Avatar de Madhu

Parfait ! J'ai résolu le problème.

Commenté el 26 de Juillet, 2019 par Madhu

5voto

duliu1990 avatar
duliu1990 Points 31

si votre version de Springfox est supérieure à 2.5, doit être ajouté WebSecurityConfiguration comme ci-dessous :

@Override
public void configure(HttpSecurity http) throws Exception {
    // TODO Auto-generated method stub
    http.authorizeRequests()
        .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll()
        .and()
        .authorizeRequests()
        .anyRequest()
        .authenticated()
        .and()
        .csrf().disable();
}
Répondu el 13 de Mai, 2018 par duliu1990 (31 Points )

0 votes

Avatar de Mahieddine M. Ichir

Duliu1990 a raison, depuis springfox 2.5+, toutes les ressources de springfox (swagger inclus) ont été déplacées sous le nom de /swagger-resources . /v2/api-docs est le point de terminaison par défaut de l'api swagger (qui ne concerne pas l'interface utilisateur), qui peut être remplacé par la variable de configuration springfox.documentation.swagger.v2.path renard printanier

Commenté el 23 de Août, 2018 par Mahieddine M. Ichir

1voto

Siddu avatar
Siddu Points 8 
 @Override
  protected void configure(HttpSecurity http) throws Exception {
  http
    .csrf().disable()
     .authorizeRequests()
      .antMatchers("/api/**").authenticated()
      .anyRequest().permitAll()
      .and()
    .httpBasic().and()
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
Répondu el 7 de Mars, 2018 par Siddu (8 Points )

1 votes

Avatar de Toby Speight

Merci pour cet extrait de code, qui pourrait apporter une aide limitée à court terme. Une bonne explication améliorerait grandement sa valeur à long terme en montrant por qué il s'agit d'une bonne solution au problème, et elle serait plus utile aux futurs lecteurs ayant d'autres questions similaires. S'il vous plaît modifier votre réponse pour ajouter des explications, y compris les hypothèses que vous avez faites.

Commenté el 7 de Mars, 2018 par Toby Speight

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X