前后分离之后SpringBoot+SpringSecurity放行Swagger访问后,security跨域配置失效的问题

已于 2022-09-23 20:48:24 修改
阅读量1.3w 收藏 17
点赞数 7
CC 4.0 BY-SA版权
分类专栏: SpringSecurity spring boot 文章标签: SpringBoot SpringSecurity Swagger 跨域 前后分离
于 2019-04-22 16:04:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27948811/article/details/89452787
本文介绍了在前后分离的项目中,使用SpringBoot和SpringSecurity时遇到的Swagger访问和跨域问题。当Security未放行Swagger,本地无法访问Swagger,且前端跨域请求遭遇403错误。通过重写SecurityConfig和WebMvcConfigurer的配置方法,实现了既能允许Swagger访问后端接口,又能解决前端跨域问题。同时提醒,在生产环境中务必关闭Swagger以确保安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题背景:

项目用的swagger生成的接口文档,同时也有security权限验证,为了方便后端自己测试,所以接口测试直接访问swagger;

但是security如果没有放行swagger的话,本地是访问不到swagger的,同时前端要访问后端接口,也有跨域问题;

 Security没有放行swagger访问的时候,用swagger请求接口会报错:

我这样配置SecurityConfig之后,解决了swagger访问的问题:


    @Override
    public void configure(WebSecurity web) throws Exception {
        // v1是接口访问前缀,注意与自己的项目区别
        web.ignoring().antMatchers("/v1/**");
        
    }

但是,前端的跨域问题又出现了, 前端报错403;

查了一下资料,

WebSecurity和HttpSecurity的区别主要是:

  1. 这两个都是继承WebSecurityConfigurerAdapter后重写的方法
  2. http.permitAll不会绕开springsecurity验证,相当于是允许该路径通过
  3. web.ignoring是直接绕开spring security的所有filter,直接跳过验证

                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验

				
			

			

				

					极客星云-优快云博客
				

				

					05-17
					
					2729
					
				

			

		

		

			
				
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.

			
		

	



                

            
              



	

		

			

				
					
一篇文章带你搞定 SpringBoot 整合 Swagger2

				
			

			

				

					南淮北安的博客
				

				

					10-23
					
					2967
					
				

			

		

		

			
				
前后分离后,维护接口文档基本上是必不可少的工作。
一个理想的状态是设计好后,接口文档发给前端和后端,大伙按照既定的规则各自开发,开发好了对接上了就可以上线了。当然这是一种非常理想的状态,实际开发中却很少遇到这样的情况,接口总是在不断的变化之中,有变化就要去维护,做过的小伙伴都知道这件事有多么头大!还好,有一些工具可以减轻我们的工作量,Swagger2就是其中之一,至于其他类似功能但是却收费的软件,这里就不做过多介绍了。
文章目录一、创建工程二、Swagger2 配置三、简单示例四、中文配置案例五、在 Se

			
		

	



              


  
              

                


	

		

			

				
					
SpringBoot集成Swagger使用SpringSecurity控制访问权限

				
			

			

				

					m0_73311735的博客
				

				

					05-10
					
					1441
					
				

			

		

		

			
				
本文主要介绍了如何在Spring Boot项目中使用Swagger,并且解决了使用Spring Security访问Swagger资源被拦截的问题。首先,我们需要在pom.xml中添加SwaggerSwagger UI的依赖。然后,在配置类中使用启用Swagger,并通过@Bean注解创建一个Docket对象来配置Swagger,包括文档说明和扫描的包路径等。在使用Spring Security的项目中,由于默认情况下Spring Security会对所有资源进行保护,因此我们需要通过类的。

			
		

	





	

		

			

				
					
spring security 放行 swagger2

				
			

			

				

					输入技术、输出想法
				

				

					08-03
					
					3822
					
				

			

		

		

			
				
发行四个资源
"/swagger-ui.html",
"/webjars/**",
"/swagger-resources/**",
"/v2/**"






			
		

	



		

			
		



	

		

			

				
					
Spring Boot Swagger 安全防护全解析:从旧版实践到官方规范

					
最新发布

				
			

			

				

					专注于 Java 后端架构、微服务、分布式、前端及 AI 领域的技术分享,是开发者获取硬核知识、交流实战经验的专业博客。
				

				

					05-13
					
					1175
					
				

			

		

		

			
				
本文系统梳理 Swagger 安全防护的核心方案,涵盖旧版 Swagger(SpringFox)的配置实践、官方推荐的 Spring Security 方案,以及多环境管理、反向代理过滤等全链路技术。结合权威文档,明确不同方案的适用版本与场景,助力开发者构建安全合规的 API 文档体系。

			
		

	





	

		

			

				
					
SpringSecurity放行Swagger

				
			

			

				

					qq_42682745的博客
				

				

					10-09
					
					3321
					
				

			

		

		

			
				
//放行swagger
.antMatchers("/swagger-ui.html","/swagger-resources/**","/webjars/**","/v2/**","/api/**").permitAll()




			
		

	





	

		

			

				
					
Spring boot+Spring security+JWT实现前后分离登录认证及权限控制

					
热门推荐

				
			

			

				

					李哈zzz的博客
				

				

					03-30
					
					2万+
					
				

			

		

		

			
				
借鉴文章:

Springboot + Spring Security 实现前后分离登录认证及权限控制_I_am_Rick_Hu的博客-优快云博客_springsecurity前后分离登录认证

最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security来权限管理。Spring security大致分为认证和授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.

			
		

	





	

		

			

				
					
Springboot 整合swaggerspringsecurity、jjwt、实现前后分离架构的权限认证搭建。

				
			

			

				

					weixin_43277309的博客
				

				

					04-08
					
					1211
					
				

			

		

		

			
				
Springboot 整合swaggerspringsecurity、jjwt、实现前后分离架构的权限认证搭建。
一、写本文的目的性()
1.1、网上有很多关于springsecurity、整合jjwt的相关例子,我前段时间因为个人原因,需要整合,但是看了网上的例子,要不太过于复杂,要么前后端耦合度太高,要么没有什么ruan用(但是我还是找到了某位猿猿的分享,得到了启发)
二、需要做的准备
2.1、没学过springbootspringsecurity的去学一下

这里有一份springsecurit

			
		

	





	

		

			

				
					
spring boot集成权限安全 spring boot+jwt+spring security(一、配置)

				
			

			

				

					oracle_white的博客
				

				

					11-24
					
					424
					
				

			

		

		

			
				
本篇文章讲述spring boot 集成 spring security相关操作。

			
		

	





	

		

			

				
					
SpringBoot 集成SpringSecurity JWT

				
			

			

				

					weixin_55765992的博客
				

				

					07-01
					
					1141
					
				

			

		

		

			
				
1. 简介
今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。
1.1 SpringSecurity
Spring Security 是Spring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。

Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa

			
		

	





	

		

			

				
					
spring security+swagger3 访问默认路径(http://localhost:端口/swagger-ui/)出现404

				
			

			

				

					weixin_48450741的博客
				

				

					11-20
					
					7377
					
				

			

		

		

			
				
spring security+swagger3 访问默认路径(http://localhost:端口/swagger-ui/)出现404springboot vue3 redis MySQL spring security swagger3 前后分离项目。redis 和 rabbitMQ依赖spring security依赖swagger3依赖关于报错如何处理swagger3 的配置webmvc 的配置spring security 配置配置好后,在controller加入注解,然后访问路径 http:

			
		

	





	

		

			

				
					
从零搭建SpringBoot3+Vue3前后分离项目基座,中小项目可用

				
			

			

				

					m0_74825526的博客
				

				

					12-28
					
					3133
					
				

			

		

		

			
				
/ mapper.xml路径。创建xception包,在包下放全局异常处理类GlobalExceptionHandler.java,类名放置 位置可以随意,为便于分类整理, 同类包放到一个包下。@MapperScan(“com/buzhisuoyun/base_manage/mapper”) 扫描mapper路劲,也可在启动类配置。

			
		

	





	

		

			

				
					
Vue+Spring-boot+Swagger2前后分离中的问题(Network error)

				
			

			

				

					weixin_39386430的博客
				

				

					11-16
					
					3889
					
				

			

		

		

			
				
使用vue来写前端,然后用Spring-boot写后台,他们的地址不一样,所以会出现一个访问数据的问题。前端页面给后端发送请求是,会报Network error错误。
第一步:需要去到utils–>request.js中,把拦截器修改掉将相应拦截器service.interceptors.response.use下的拦截条件全部去掉,然后直接返回相应结果return res;
此时,相应...

			
		

	





	

		

			

				
					
记使用spring security域配置失效问题

				
			

			

				

					     java-北京-菜鸟
				

				

					03-24
					
					4237
					
				

			

		

		

			
				
之前项目使用的都是shiro,解决问题都是实现WebMvcConfigurer接口,重写以下方法


    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowCredentials(tru...

			
		

	





	

		

			

				
					
Spring boot 添加Spring Security导致Swagger无法打开

				
			

			

				

					编程愣头青
				

				

					02-06
					
					937
					
				

			

		

		

			
				
只需要发行一下swagger页面以及静态资源就可以了
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/swagger-ui.html")
                .antMatchers( "/swagger-resources/**")
                .antMatchers("/v2/api-docs"

			
		

	





	

		

			

				
					
springboot 整合security并且配置swagger 时,无法访问/doc.html

				
			

			

				

					weixin_42883164的博客
				

				

					12-07
					
					714
					
				

			

		

		

			
				
解决方案:需要在WebSecurityConfig 中 配置允许匿名访问的路径。

			
		

	





	

		

			

				
					
swagger】spring securityswagger和knife4j集成 无法访问 返回结果没有内容

				
			

			

				

					孟秋与你的博客
				

				

					01-31
					
					5670
					
				

			

		

		

			
				
作为一个强迫症重度的程序猿 不想多导一个jar包,
本文创作背景是鉴于网上大多数是旧版本swagger2的教程,且没有针对2和3区别描述,话不多说 直接步入正题。

			
		

	





	

		

			

				
					
SpringSecurity登录遇到的空指针和403问题以及swagger3放行

				
			

			

				

					jixu8的博客
				

				

					09-19
					
					1067
					
				

			

		

		

			
				
SpringSecurity登录遇到的空指针和403问题

			
		

	





	

		

			

				
					
Spring Security - 配置免认证访问 Swagger

				
			

			

				

					qq_29761395的博客
				

				

					01-22
					
					1万+
					
				

			

		

		

			
				
Spring Boot 2.2.4.RELEASE
Spring Security 5.2.1.RELEASE

新建 Spring Boot 项目,引入依赖:
<project>
    <properties>
        <java.version>1.8</java.version>
        <springfox-swagg...

			
		

	





	

		

			

				
					
前后分离security如何控制访问权限

				
			

			

				

					04-28
				

			

		

		

			
				
<think>好的,我现在需要帮助用户解决在前后分离架构下使用Spring Security实现访问权限控制的问题。首先,我得回忆一下用户提供的引用内容,看看有哪些信息可以利用。用户引用了四个资料,主要涉及Spring Security的配置、认证授权、CSRF防护以及权限处理的具体代码示例。

用户的问题是关于最佳实践的,所以我需要整理出一个结构清晰的回答,涵盖配置安全过滤器链、认证管理、权限控制、CSRF处理、异常处理等方面。同时,用户要求生成相关问题,我需要根据回答内容提出几个相关的问题,帮助用户进一步学习。

首先,我应该明确前后分离的特点,比如使用JWT、RESTful API、无状态认证等。然后结合引用中的配置示例,说明如何配置Spring Security的安全过滤器链,特别是登录处理URL和CORS配置,因为前后分离通常涉及问题。

接下来,认证管理部分需要提到自定义的UserDetailsService和JWT的使用,确保用户信息正确加载,并生成令牌返回给前端。引用4中的JWT实现可能有用,但用户提供的代码片段中没有详细说明,可能需要结合常见做法补充。

然后是权限控制,这里可以使用注解如@PreAuthorize,或者基于配置的权限规则,如antMatchers。引用1和引用2中的配置示例展示了如何设置登录处理URL和异常处理,引用4中的CustomizeAccessDeniedHandler处理权限不足的情况,这些都需要整合到最佳实践中。

CSRF防护在前后分离中可能需要禁用,因为通常使用token认证,引用3提到默认启用CSRF,但建议在无状态情况下禁用,这点需要强调。

异常处理部分,引用2和4中的UnLoginHandler和CustomizeAccessDeniedHandler展示了如何返回JSON响应,而不是跳转页面,这对前后分离很重要,需要确保所有异常都返回统一的JSON格式。

最后,其他实践可能包括接口文档整合、审计日志、请求限流等,但用户提供的引用中没有提到这些,可能需要简要提及,但不过多展开。

生成相关问题方面,可以考虑JWT与Session的区别、动态权限管理、CSRF处理、统一响应格式等,这些都是与主题紧密相关的问题,能帮助用户深入理解。

现在需要检查是否所有要点都覆盖,并且符合用户的需求。确保回答结构清晰,分点说明,每个部分都有对应的代码示例或配置方法,同时引用正确的资料作为支持。例如,在配置安全过滤器链时引用1和2,在异常处理时引用2和4等。

另外,注意用户要求使用中文回答,所有数学表达式用$...$格式,独立公式用$$...$$,但这个问题主要涉及代码和配置,可能数学公式较少,但如果有的话需要正确应用格式。例如,如果有算法相关的数学内容,需要正确使用LaTeX,但当前问题可能不涉及。

最后,确保生成的三个相关问题与内容相关,能够引导用户进一步探索,比如优化JWT、动态权限控制、CSRF处理等。</think>在前后分离架构中使用Spring Security实现访问权限控制需要遵循以下最佳实践,涵盖核心配置、认证授权、异常处理等关键环节:

---

### 一、安全过滤器链配置(核心入口)
```java
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .cors().configurationSource(corsConfigurationSource())  // 域配置[^2]
            .and()
            .csrf().disable()  // 前后分离建议禁用CSRF[^3]
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/api/public/**").permitAll()
                .requestMatchers("/api/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
            )
            .formLogin(login -> login
                .loginProcessingUrl("/api/auth/login")  // 登录接口路径[^1]
                .successHandler(loginSuccessHandler())
                .failureHandler(loginFailureHandler())
            )
            .exceptionHandling(ex -> ex
                .authenticationEntryPoint(unLoginHandler())  // 未登录处理[^2]
                .accessDeniedHandler(accessDeniedHandler())  // 权限不足处理[^4]
            );
        return http.build();
    }
}
```

---

### 二、认证管理实现
1. **用户信息加载**
   ```java
   @Service
   public class JwtUserDetailsService implements UserDetailsService {
       @Override
       public UserDetails loadUserByUsername(String username) {
           // 数据库查询用户及权限
           return User.withUsername(username)
                   .password(encodedPassword)
                   .authorities(roles)
                   .build();
       }
   }
   ```

2. **JWT令牌生成(登录成功处理)**
   ```java
   public class LoginSuccessHandler implements AuthenticationSuccessHandler {
       @Override
       public void onSuccess(...) {
           String token = Jwts.builder()
                   .setSubject(username)
                   .claim("roles", authorities)
                   .signWith(SECRET_KEY)
                   .compact();
           response.getWriter().write(JSON.toJSONString(new AuthResult(token))); // 返回JSON[^4]
       }
   }
   ```

---

### 三、权限控制策略
1. **方法级权限控制**
   ```java
   @RestController
   @PreAuthorize("hasRole('ADMIN')")  // 类级别控制[^2]
   public class AdminController {
       
       @GetMapping("/sys/users")
       @PreAuthorize("hasAuthority('USER:READ')")  // 细粒度控制[^4]
       public List<User> listUsers() {
           // ...
       }
   }
   ```

2. **动态权限配置(数据库驱动)**
   ```java
   @Bean
   public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
       http.authorizeHttpRequests(auth -> auth
           .requestMatchers(dynamicPermissionLoader.loadUrlMappings())
       );
   }
   ```

---

### 四、异常处理标准化
| 异常类型          | 处理方式                              | 响应示例                      |
|-------------------|---------------------------------------|-----------------------------|
| 未认证            | `AuthenticationEntryPoint`[^2]       | `{"code":401,"msg":"请登录"}` |
| 权限不足          | `AccessDeniedHandler`[^4]            | `{"code":403,"msg":"无权限"}` |
| 凭证失效/过期     | 自定义`AuthenticationFailureHandler` | `{"code":4011,"msg":"令牌过期"}` |

---

### 五、其他关键实践
1. **接口文档整合**:在Swagger白名单中放行`/v3/api-docs/**`
2. **审计日志**:实现`AuditListener`记录敏感操作
3. **请求限流**:集成Resilience4j进行API访问频率控制

---

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值