安全性没有从生成器添加到SwaggerOpen API
我正在我的团队中进行一个新项目,我们正在按照API第一方法论实现一个API。我们正在使用openapi-Generator-maven-plugin从OpenAPI 3.0.3格式的yml文件生成我们的API。要生成swagger文件,我们使用springfox 2.9.2。我面临的问题是当我试图为请求的swagger添加安全性时。
components:
securitySchemes:
bearerAuth:
type: http
scheme: bearer
bearerFormat: JWT
security:
- bearerAuth: [ ]
“授权”按钮不会出现在“招摇过市”页面中,只会出现靠近请求的锁,但它不会执行任何操作(请参见下图)。
我观察到的是,如果我打开/v2/api-docs,swagger json不包括安全定义部分。
我设法添加安全性的唯一方法是在Docket对象中通过代码添加安全性部分,如下所示:
new Docket(DocumentationType.SWAGGER_2)
.securityContexts(Collections.singletonList(securityContext()))
.securitySchemes(Collections.singletonList(bearerJwtKey()))
.select()
.apis(RequestHandlerSelectors.basePackage("com.example"))
.paths(PathSelectors.any())
.build();
这是唯一一种为Swagger UI增加安全性的方法,还是我遗漏了什么?
共有1个答案
原因:spring库中尚未实现承载身份验证:(
导入生成的配置类,然后将安全模式(ApiKey)添加到现有的Docket bean中。例子:
@Configuration
@Import(OpenAPIDocumentationConfig.class) // openapi generated config class
public class SwaggerConfiguration {
@Autowired
ApplicationContext context;
@PostConstruct
public void extendExistingDocketWithSecurity() {
Docket docket = context.getBean(Docket.class);
docker.securitySchemes(Collections.singletonList(bearer()));
}
private static ApiKey bearer() {
// where "bearerAuth" - name of your schema in YML spec. file
return new ApiKey ("bearerAuth", HttpHeaders.AUTHORIZATION, "header");
}
完成!你真棒!现在您使用的是生成的招摇过市配置,而不是覆盖,而是扩展
-
问题内容: 为了生成用于访问我们的API的32个字符的令牌,我们目前使用: 我已经读到,这种方法不是基于密码的安全性,因为它基于系统时钟,这将是一个更好的解决方案,因为它很难预测。 如果是这种情况,等效代码将是什么样? 我猜是这样的,但是我不知道这是否对… 我应该传递给函数什么长度也有意义? 问题答案: 这是正确的解决方案:
-
问题内容: 我正在运行一个基于Java Spring MVC的Web应用程序。它还基于Hybris平台。 现在,已经实现了有关身份验证和授权的基本功能。意味着我们确实有用于会话,有效的用户系统等的过滤器。 但是,我们目前还没有针对诸如XSS和其他可能的攻击之类的安全措施。XSS可能是最大的问题,因为它是最常见的攻击方式。 现在,我不知道……明智地采取什么步骤?我环顾四周,我发现存在像XSS-Fil
-
当前的增删改查,无论登陆与否都可以操作,实在太不靠谱了,所以,还是加个检查吧. 判断用户登陆 UserModule添加一个注解 @Filters(@By(type=CheckSession.class, args={"me", "/"})) 含义是,如果当前Session没有带me这个attr,就跳转到/页面,即首页. 同时,为login方法设置为空的过滤器,不然就没法登陆了 @Filters(
-
默认添加的栏目为静态浏览,是不生成静态的需要在栏目中配置是否生成静态
-
在Firebase生态系统中,例如在云Firestore中,财务成本高度依赖于文档读取等因素。 > 有没有什么东西可以保护我们免受敌人直接向我们的Firestore发送大量读取请求(绕过我们的应用程序),从而抬高我们的成本? Firebase平台是否以某种方式识别并过滤掉了这一点,或者,如果这件事发生在我们身上,我们是否只需要付费? 澄清:假设我们的Firestore安全规则是这样的,任何人都可以
-
问题内容: 我有一个多线程程序,在其中创建生成器函数,然后将其传递给新线程。我希望它本质上是共享/全局的,以便每个线程都可以从生成器获取下一个值。 使用这样的生成器是否安全?还是会遇到从多个线程访问共享生成器的问题/情况? 如果不是,是否有更好的方法来解决此问题?我需要可以在列表中循环并为任何线程调用它生成下一个值的东西。 问题答案: 它不是线程安全的;同时调用可能交错,并与局部变量混淆。 常用的