生产环境如何跳过Swagger包扫描

最新推荐文章于 2024-10-24 10:32:11 发布
原创 最新推荐文章于 2024-10-24 10:32:11 发布 · 926 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#spring #spring boot #java #icpc #yahoo
本文探讨了在生产环境中如何避免Swagger暴露API信息,提出了通过添加条件判断在不同环境禁用或启用Swagger的策略,利用Spring Boot的AutoConfiguration和Condition机制实现。在不需要Swagger的环境中,只需启动时传递参数即可关闭相关配置。

上一篇文章分享了swagger(Java效率工具之Swagger2),有位读者留言想了解下,在生产环境如何去掉 swagger 包扫描,毕竟在生产环境我们会担心 API 的各类信息泄露导致安全问题。

那把这个需求再分解细化一下,我们来看最终想实现的,就是在生产环境中不要把 API 的信息暴露出去。

那针对这样的需求,我们一般会有哪些思路来处理呢?

我的思路大致有以下几点,欢迎留言一卢交流:

•添加 Spring Security,对 swagger api 的请求进行权限检验。•应用进行生产环境打包时,将 swagger 对应的内容移除•根据不同的条件,在生产环境禁用 swagger, 其他环境启用

对于通过添加 Spring Security ,设置不同 request 的 Permit 和Deny 来进行控制。特殊打包,可以通过自定义 maven 插件的形式来实现。这两种我们先忽略。这里我们重点来说下第三种实现方式,「根据不同的条件,在生产环境禁用 swagger, 其他环境再启用」。这样就解决了我们的问题。

熟悉 Spring Boot 的读者可能都知道, Spring Boot 都是靠一系列 AutoConfiguration 工作的。我们每次新增的一个 Starter, 在启动的时候都会解析,判断其 AutoConfiguration是 否需要启用(Tomcat 是怎样处理 SpringBoot应用的?)。比如是否存在特定的Bean, 是否存在我写的 Class 等等。而这一切能够成立,其实是依赖 Spring 4.x 时新增的 Conditional。有了这个,才有了后面类似于 我们代码里的 if 条件判断。

所以,我们对于 swagger 是否启用,可以套用同样的思路,创建我们自己的 Condition, 再在不同的环境中使条件成立即可。



package com.example;


import org.springframework.context.annotation.Condition;
import org.springframework.context.annotation.ConditionContext;
import org.springframework.core.type.AnnotatedTypeMetadata;


/**
 * 公众号「Tomcat那些事儿」
 * @author houshucheng
 */


public class OpenApiCondition implements Condition {
    @Override
    public boolean matches(ConditionContext conditionContext, AnnotatedTypeMetadata annotatedTypeMetadata) {
        String test = conditionContext.getEnvironment().getProperty("app-env");


        return test != null && test.equals("pro");
    }
}

然后再把这个 Condition 应用到 Swagger 的 Configuration 上。

package com.example.demo;


import com.example.OpenApiCondition;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Conditional;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;


import static springfox.documentation.builders.PathSelectors.regex;


/**
 * 公众号「Tomcat那些事儿」
 * @author houshucheng
 */


@Configuration
@EnableSwagger2
@Conditional(OpenApiCondition.class)
public class SwaggerConfig extends WebMvcConfigurationSupport {
    @Bean
    public Docket productApi() {
        return new Docket(DocumentationType.SWAGGER_2)
                .select() .apis(RequestHandlerSelectors.basePackage("com.example.web"))
                .paths(regex("/product.*"))
                .build();


    }
  @Override
    protected void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("swagger-ui.html")
                .addResourceLocations("classpath:/META-INF/resources/");


        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");
    }
}

之后启动的时候,对于需要用到 swagger 的环境,不需要做特殊处理,在启动后,直接请求 swagger-ui.html 即可。而对于不需要使用 swagger 的环境,只需要启动的时候,给程序传入参数:--app-env=pro 就可以了。由于不同的 Condition,可以控制 Swagger 的配置在不同环境下是否启用,来实现我们的需求。

有些时候,我们可以在阅读一些开源代码的时候,可以从中学习一些思路,应用到我们自己的项目,实现我们自己的需求。

对于这个问题,各位读者有哪些思路呢,欢迎留言一起交流

相关阅读

Java效率工具之Swagger2

Java效率工具Lombok使用及原理

如何开发自己的Spring Boot Starter

Spring Boot Admin (一) 请求处理原理

Tomcat 是怎样处理 SpringBoot应用的?

更多常见问题,请关注公众号,在菜单「常见问题」中查看。

源码|实战|成长|职场

这里是「Tomcat那些事儿」

请留下你的足迹

我们一起「终身成长」

识别二维码,关注我

                                                                  如有帮助,让我知道你「在看

chainhou
关注
如何关闭swagger
06-08 2589
原理跟第一个差不多,只是判断条件不同(profile判断配置文件,也即的参数)swagger2 关闭主要是根据条件使swagger 配置不再生效,如。方法一:@ConditionalOnProperty。方法三 @Value 配置Docket 失效办法。其他基于Conditional的方式。方法二 @Profile。
配置Swagger开发环境有效,生产环境无效
沧海一粟
09-15 2463
安全扫描问题解决
生产环境屏蔽swagger
硅脂味咖啡的博客
11-25 3472
只需要在swagger的配置类上增加@Profile( )注解,指定环境变量,即可屏蔽生产环境上的swagger,如下: 先使用dev环境,访问swagger,结果如下: 再使用test环境,访问swagger,结果如下: 最后切换成生产环境,访问swagger,结果如下: 可以发现此时页面直接就报错了,什么信息都没有被展示出来。 总结 swagger的配置类使用上@Profile( )注解,即可实现生产环境屏蔽swagger。 ...
生产环境swagger
russle的专栏
06-09 1万+
Swagger是我们常用的API Doc工具,非常便于开发人员调试,后台和前端开发人员协作,以及对外公布API使用。如何在生产环境swagger了? 如何Swagger,方法有很多,我们选择最简单实用的,也就是直接在使用@Profile注解。 项目背景介绍, 我们有三个环境dev, test, prod,我们只在dev环境中使用swagger,test和prod都止使用,为了体现使...
springboot项目关闭swagger防止漏洞扫描
cuper_的博客
04-12 6486
项目彻底关闭swagger以应对安全扫描
Swagger
最新发布
轻言细语莫泪痕
10-24 279
Swagger使用
微服务网关(Zuul)聚合Swagger以及Swagger注解的使用
小爽帅到拖网速的博客
05-05 1294
微服务网关聚合Swagger 本文目录微服务网关聚合Swagger1、Zuul网关中的配置1、导入依赖2、application.yml添加配置3、配置扫描微服务swagger文档4、配置Swagger2、微服务中的配置1、导入依赖2、配置Swagger3、SpringSecurity环境放行Swagger4、Oauth2环境放行Swagger5、效果展示3、Swagger实战场景1、自定义注解实现接口跳过Swagger扫描2、Swagger注解的使用 1、Zuul网关中的配置 1、导入依赖 <!--
封装swagger2为公共模块
热门推荐
何忆清风
01-13 5万+
封装swagger
Swagger正确打开方式(二)安全访问
bihaiyanyu的专栏
11-26 1万+
安全访问主要分以下两种: 1.环境的安全隔离。swagger基本上把项目所有的请求接口都罗列出了,而且支持接口在线调试,所以线上环境不应该开启swagger接口功能,试想如果开启了swagger功能,哪位开发测试人员,通过swagger就可以任意访问线上接口了,这显然是不安全的。 2.接口访问权限认证。我们的很多接口都是需要登录后才能访问及操作,为了安全起见,用swagger也不能例外。 环境的安全隔离 ...
springboot发布后去swagger
atmknight的博客
07-23 1万+
在使用spring-boot开发的时候,我们很多时候会使用swagger作为api文档输出。可以在UI界面上看到api的路径,参数等等。 当然,作为开发环境是很方便的,但是上生产环境的时候,我们需要把swagger。怎么通过配置文件的方法来swagger呢? import org.springframework.boot.autoconfigure.condition.Conditio...
Swagger】常用注解的使用、SpringBoot的整合及生产环境下屏蔽Swagger
无法自律的人的博客
12-27 2737
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务。它使得部署管理和使用功能强大的API从未如此简单。Swagger让文件的方法、参数和模型紧密集成到服务器端的代码,允许API始终保持同步。2、常用注解有哪些?在软件开发中,常用注解(Annotation)主要用在Java中,并且用于对代码进行标记和说明。下面列举了一些常见的Java注解:与模型相关的注解@ApiModel:用于模型类上,对模型类做注释。
Spring boot集成Swagger,并配置多个扫描路径
努力努力再努力
07-06 1437
@Configuration @EnableSwagger2 public class SwaggerConfig { // 定义分隔符 private static final String splitor = ";"; /** * 创建API应用 * api() 增加API相关信息 * 通过select()函数返回一个ApiSelectorBuilder实例,用来控制哪些接口暴露给Swagger来展现, * 本例采用指定扫描路径.
swagger的坑
dzl84394的专栏
04-22 432
找不到getPluginFor NoSuchMethodError: org.springframework.plugin.core.PluginRegistry.getPluginFor springboot 2以上,就不要用 swagger 3以上的版本,springboot不可能降版本,把swagger降到2.92,不要用最新的 <dependency> <groupId>io.springfox</groupId> <artifa.
Java SpringBoot关闭线上Swagger
weixin_44832006的博客
03-11 2713
3.在需要部署正式版本时,把yml对应的版本环境切换至生产环境时,将无法打开swagger-ui.html 和doc.html。2.application.yml 在每个开发环境配置对应的swagger是否可以使用。1.swaggerConfig添加 ConditionalOnProperty注解。前言: 正常线上接口文档是不开启的,以防被人盗刷接口,影响正常人员的使用。
SpringBoot 22 Swagger配置扫描接口和开关、过滤url、根据环境决定使用
小哞^同^学的技术博客
08-03 1978
我们 扫描的 接口(Controller)肯定 不能 是 让它 默认扫描呀。我们肯定要 自定义扫描呀,就是要指定 扫描的位置呀。要不然 它 的 自由度 岂不是太小了。:选择 接口,得提供一个 请求处理的选择器。:通过 提供一个 的 路径 然后 选择 扫描。none()答:可以是 你提供的 任何 一个注解。它的意思是 只要 这个方法上有 你提供的这个注解 我们就扫描!@Api 注解。...
Maven编译时,如何忽略swagger注解
abckingaa的博客
01-14 1113
Javabean中,@ApiModelProperty这种swagger注解,只是为了在开发时生成API文档;在放到生产环境时,是不需要的。有什么方法,可以在为生产环境编译jar时,忽略这些swagger注解吗?
Swagger API 信息泄露漏洞解决方案
J_com的博客
02-24 2万+
Swagger API 信息泄露漏洞解决方案
springBoot如何【Swagger
m0_46459413的博客
05-16 7604
1、使用注解 @ConditionalOnProperty(name = “swagger.enable”, havingValue = “true”)并需要在配置文件里添加一个swagger.enable属性,根据不同的application-xx.yml进行动态插入true或false即可。2、然后在测试配置或者开发配置中 添加 swagger.enable = true 即可开启,生产环境不写该配置则默认关闭Swagger生产环境下,需要关闭swagger配置,避免接口暴露。
【解决问题】在SpringBoot中通过配置Swagger权限解决Swagger未授权访问漏洞
招财猫_Martin 的专栏
10-08 7883
Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。若存在相关的配置缺陷,攻击者可以在未授权的状态下,翻查Swagger接口文档,得到系统功能API接口的详细参数,再构造参数发,通过回显获取系统大量的敏感信息。在一个项目的实施过程中,客户通过安全检测发现了系统中swagger未进行授权导致调取到了项目上全部的api接口,并在接口中找到了默认的超级用户和密码,并通过修改超级用户密码成功登录到业务系统。以上2个方法选择其一,修改完成后,重启业务系统。
生产环境Swagger
u011813017的博客
04-13 3266
使用注解@Profile({“dev”,“test”}) 表示在开发或测试环境开启,而在生产关闭。然后在测试配置或者开发配置中 添加 swagger.enable = true 即可开启,。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值