无法解决403 Forbidden当使用开放的API与 Spring Boot 和swagger和允许其他请求

k75qkfdt  于 2024-01-08  发布在  Spring
关注(0)|答案(2)|浏览(363)

我在这里看了很多问题,但没有适合我的解决方案。
我有一个服务,我想运行开放的API和swagger用户界面上。
我在没有安全性的情况下运行它们没有问题,当我尝试使用下面的代码添加基本身份验证时,它可以按照我的意愿工作,但它也将我所有其他的API置于相同的身份验证之后,这是我不希望的。我想我可以添加一个额外的requestMatcher,如下所示:

  1. @Bean
  2.     public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
  3.         httpSecurity.authorizeHttpRequests()
  4.                     .requestMatchers("/swagger-ui/**",
  5.                                      "/v3/api-docs/**",
  6.                                      "/v3/api-docs",
  7.                                      "/swagger-ui.html")
  8.                     .hasRole("USER")
  9.                     .requestMatchers("/**").permitAll()
  10.                     .and()
  11.                     .httpBasic(Customizer.withDefaults());
  12.         return httpSecurity.build();
  13.     }

字符串
当我这样做的时候,我的其他API是可以访问的,没有安全性,正如我所期望的,当我去swagger ui我得到弹出窗口,我可以登录,但然后get请求到/v3/api-config失败与一个403禁止错误或400错误,这取决于所有的requestMatcher位于何处。
正确的方法是什么?
我希望 Swagger 的API的背后基本认证,但所有其他API的任何人都可以访问。
我找不到现有的答案来帮助解决这个问题。
我目前的安全配置如下,这阻止了一切,并允许在身份验证后 swagger :

  1. @Configuration
  2. @EnableWebSecurity
  3. public class SecurityConfig {
  5.     public static final Logger logger = LoggerFactory.getLogger(SecurityConfig.class);
  7.     @Bean
  8.     public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
  9.         httpSecurity.authorizeHttpRequests()
  10.                     .requestMatchers("/swagger-ui/**",
  11.                                      "/v3/api-docs/**",
  12.                                      "/v3/api-docs",
  13.                                      "/swagger-ui.html")
  14.                     .hasRole("USER")
  15.                     .and()
  16.                     .httpBasic(Customizer.withDefaults());
  17.         return httpSecurity.build();
  19.     }
  21.     @Bean
  22.     public UserDetailsService userDetailsService(PasswordEncoder passwordEncoder) {
  23.         UserDetails user = User.withUsername("user")
  24.                                .password(passwordEncoder.encode("password"))
  25.                                .roles("USER")
  26.                                .build();
  27.         return new InMemoryUserDetailsManager(user);
  28.     }
  30.     @Bean
  31.     public PasswordEncoder passwordEncoder() {
  32.         return new BCryptPasswordEncoder();
  33.     }
  34. }

swagger

2条答案

按热度按时间
smtd7mpg

smtd7mpg1#

为了只在swagger上进行身份验证,我实现了两个不同的过滤器链。一个用于swagger,另一个用于整个服务。这是我的SecurityConfig的样子:

  1. http.addFilterBefore(ssoAuthFilter, UsernamePasswordAuthenticationFilter.class);
  3.         http.authorizeHttpRequests(c ->
  4.                             c.requestMatchers("/swagger-ui").hasAnyAuthority("STAFF","ADMIN","CASHIER","TENANTADMIN")
  5.                                     .requestMatchers("/api-docs/swagger-config").permitAll()
  6.                                     .requestMatchers("/swagger-ui/login").permitAll()
  7.                                     .requestMatchers("/actuator/health").permitAll()
  8.                                     .requestMatchers("/actuator/prometheus").permitAll()
  9.                                     .requestMatchers("/api-docs").hasAnyAuthority("STAFF","ADMIN", "CASHIER", "TENANTADMIN")
  10.                                     .requestMatchers("/api-docs/eod").hasAnyAuthority("ADMIN", "STAFF", "TENANTADMIN", "CASHIER")
  11.                                     .requestMatchers("/api-docs/statistics").hasAnyAuthority("ADMIN", "STAFF", "CASHIER", "TENANTADMIN")
  12.                                     .dispatcherTypeMatchers( DispatcherType.ERROR ).permitAll()
  13.                             .anyRequest().authenticated()
  14.         );
  16.         http.formLogin(form -> form
  17.                 .loginPage("/swagger-ui/login")
  18.                 .loginProcessingUrl("/swagger-ui/login")
  19.                 .successHandler(myAuthenticationSuccessHandler())
  20.                 .failureHandler(myAuthenticationFailureHandler())
  21.                 .permitAll()
  22.         );
  24.         http.addFilterBefore(swaggerAuthFilter, UsernamePasswordAuthenticationFilter.class).exceptionHandling(handling -> {
  25.             handling.accessDeniedHandler(accessDeniedHandler());
  26.             handling.authenticationEntryPoint(new CustomHttp403ForbiddenEntryPoint());
  27.         });
  29.         http.authenticationProvider(swaggerAuthProvider);

字符串
正如你所看到的,我已经为我的整个服务和SwaggerAuthFilter的 Swagger 的目的只SSOAuthFilter。
您还需要一个AuthenticationProvider:

  1. public class SwaggerAuthProvider implements AuthenticationProvider {
  2.         private UserService userService;
  3.     
  4.         @Autowired
  5.         public SwaggerAuthProvider(UserService userService) {
  6.             this.userService = userService;
  7.         }
  8.     
  9.         @Override
  10.         public Authentication authenticate(Authentication authentication) throws AuthenticationException {
  11.             String username = authentication.getName();
  12.             String password = authentication.getCredentials().toString();
  13.             Optional<WhoAmIResponse> whoAmIResponse = userService.authenticate(new LoginRequest(username,password));
  14.     
  15.             if (whoAmIResponse.isEmpty()) {
  16.                 log.debug("Authentication failed. Invalid credentials.");
  17.                 throw new BadCredentialsException("Authentication failed. Invalid credentials.");
  18.             }
  19.     
  20.             // Create a new authenticated token with the JWT token
  21.             return new JwtAuthenticationToken(
  22.                     whoAmIResponse.get().getToken(),
  23.                     username, password,
  24.                     List.of(
  25.                             new SimpleGrantedAuthority(
  26.                                 whoAmIResponse.get().getType().toUpperCase()
  27.                             )
  28.                     )
  29.             );
  30.         }
  31.     
  32.         @Override
  33.         public boolean supports(Class<?> authentication) {
  34.             return authentication.isAssignableFrom(JwtAuthenticationToken.class);
  35.         }
  36.     }


这就是我的SwaggerAuthFilter看起来的样子:

  1. public class SwaggerAuthFilter extends OncePerRequestFilter {
  3.     private final MyUserDetailsService userDetailsService;
  4.     private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
  6.     @Autowired
  7.     public SwaggerAuthFilter(MyUserDetailsService userDetailsService) {
  8.         this.userDetailsService = userDetailsService;
  9.     }
  11.     private String checkCookie(Cookie tokenCookie){
  12.         String token = tokenCookie.getValue();
  13.         if(token == null || token.length() < 7){
  14.             log.debug("token problem with length {}", token.length());
  15.         }
  17.         if(token.startsWith("Bearer"))
  18.             return token.substring(7);
  19.         return token;
  20.     }
  22.     @Override
  23.     protected void doFilterInternal(HttpServletRequest req,
  24.                                     HttpServletResponse res,
  25.                                     FilterChain chain) throws IOException, ServletException {
  26.         String url = req.getRequestURI();
  27.         if(
  28.                 (!req.getRequestURI().contains("swagger-ui") &&
  29.                 !req.getRequestURI().contains("api-docs")) ||
  30.                 req.getRequestURI().contains("login")
  31.         ){
  32.             log.debug("request with uri: {} was not associated with swagger filter", url);
  33.             chain.doFilter(req, res);
  34.             return;
  35.         }
  37.         Cookie tokenCookie = WebUtils.getCookie(req, "token");
  38.         if(tokenCookie == null){
  39.             log.debug("token cookie is null, redirecting to login page");
  40.             redirectStrategy.sendRedirect(req, res, "/swagger-ui/login");
  41.             return;
  42.         }
  43.         String token = checkCookie(tokenCookie);
  45.         UsernamePasswordAuthenticationToken authentication;
  46.         try {
  47.             UserDetails userDetails = userDetailsService.loadUserByUsername(token);
  48.             if(userDetails == null){
  49.                 log.debug("user retrieved by token in cookie is null, redirecting to login page");
  50.                 tokenCookie.setMaxAge(0);
  51.                 res.addCookie(tokenCookie);
  52.                 redirectStrategy.sendRedirect(req, res, "/swagger-ui/login");
  53.                 return;
  54.             }
  55.             authentication =
  56.                     new JwtAuthenticationToken(token,userDetails,
  57.                             null,
  58.                             userDetails.getAuthorities());
  60.             authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(req));
  62.         } catch (AuthException | NullPointerException | IllegalArgumentException e) {
  63.             log.debug("cannot authorize because {}", e.getLocalizedMessage());
  64.             authentication = null;
  65.         }
  66.         SecurityContextHolder.getContext().setAuthentication(authentication); // set the user here
  67.         chain.doFilter(req, res);
  68.     }
  69. }


希望这能帮助您解决问题!

展开查看全部
赞(0)分享  回复(0)举报  2024-01-08
ffx8fchx

ffx8fchx2#

这是一个奇怪的例子。在我工作的服务中,我们有一个端点叫做/error
Spring有一个默认的错误控制器,它也有一个名为/error的端点。
这在以前从来都不是问题,但是很明显,随着spring-security的加入,有些事情发生了变化,这就成了一个问题。
Spring不知道该使用哪个资源来做它想做的事情,所以选择了错误的资源,这导致了奇怪的行为。
有趣的是,没有实际的错误。
在调试日志中,我注意到我们出于某种原因调用了/error(仍然无法弄清楚这一点),并且有一个警告说预期的主体不在请求中,这很奇怪,因为我们没有调用该资源,并且失败的GET请求没有主体。
直到我们打开跟踪日志,我们才看到有两个冲突的/error资源,spring正在挑选资源,而不是它正在寻找的资源。
我们将错误资源重命名为其他内容,所有问题都消失了。
我觉得奇怪的是,当这种情况发生时,spring并没有正确地抱怨。
无论如何,它现在正在工作。

赞(0)分享  回复(0)举报  2024-01-08
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com