Comment configurer Spring Security pour permettre l'accès à l'URL de Swagger sans authentification

J'ai mis à jour avec/configuration/** et/swagger-resources/** et cela a fonctionné pour moi.

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**");

}

J'ai eu le même problème en utilisant Spring Boot 2.0.0.M7 + Spring Security + Springfox 2.8.0. Et j'ai résolu le problème en utilisant la configuration de sécurité suivante qui permet un accès public aux ressources de l'interface utilisateur Swagger.

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private static final String[] AUTH_WHITELIST = {
            // -- swagger ui
            "/v2/api-docs",
            "/swagger-resources",
            "/swagger-resources/**",
            "/configuration/ui",
            "/configuration/security",
            "/swagger-ui.html",
            "/webjars/**"
            // other public endpoints of your API may be appended to this array
    };


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                // ... here goes your custom security configuration
                authorizeRequests().
                antMatchers(AUTH_WHITELIST).permitAll().  // whitelist Swagger UI resources
                // ... here goes your custom security configuration
                antMatchers("/**").authenticated();  // require authentication for any endpoint that's not whitelisted
    }

}

si votre version springfox supérieure à 2.5 devrait être ajouter WebSecurityConfiguration comme ci-dessous:

@Override
public void configure(HttpSecurity http) throws Exception {
    // TODO Auto-generated method stub
    http.authorizeRequests()
        .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui", "/swagger-resources", "/swagger-resources/configuration/security", "/swagger-ui.html", "/webjars/**").permitAll()
        .and()
        .authorizeRequests()
        .anyRequest()
        .authenticated()
        .and()
        .csrf().disable();
}

Plus ou moins cette page a des réponses mais toutes ne sont pas au même endroit. Je traitais du même problème et y passais un bon moment. Maintenant, j'ai une meilleure compréhension et je voudrais le partager ici:

I Activation de l'interface Web Swagger avec Spring Websecurity:

Si vous avez activé Spring Websecurity par défaut, toutes les requêtes de votre application seront bloquées et 401 sera renvoyé. Toutefois, pour que l'interface utilisateur swagger se charge dans le navigateur, swagger-ui.html effectue plusieurs appels pour collecter des données. Le meilleur moyen de déboguer consiste à ouvrir swagger-ui.html dans un navigateur (tel que Google Chrome) et à utiliser les options de développement (touche "F12"). Vous pouvez voir plusieurs appels passés lors du chargement de la page et si le swagger-ui ne se charge pas complètement, il est probable que certains d'entre eux échouent.

vous devrez peut-être dire à Spring Websecurity d'ignorer l'authentification pour plusieurs modèles de chemin d'accès swagger . J'utilise swagger-ui 2.9.2 et, dans mon cas, les modèles que je devais ignorer:

Cependant, si vous utilisez une version différente, celle-ci pourrait changer. vous devrez peut-être trouver la vôtre avec l'option développeur dans votre navigateur, comme je l'ai déjà dit.

@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}
}

II Activation de l'interface utilisateur swagger avec intercepteur

En règle générale, vous ne souhaitez peut-être pas intercepter les demandes effectuées par swagger-ui.html. Pour exclure plusieurs modèles de swagger ci-dessous est le code:

La plupart des modèles de cas pour la sécurité Web et l'intercepteur seront les mêmes. 

@Configuration
@EnableWebMvc
public class RetrieveCiamInterceptorConfiguration implements WebMvcConfigurer {

@Autowired
RetrieveInterceptor validationInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry) {

    registry.addInterceptor(validationInterceptor).addPathPatterns("/**")
    .excludePathPatterns("/v2/api-docs", "/configuration/ui", 
            "/swagger-resources/**", "/configuration/**", "/swagger-ui.html"
            , "/webjars/**", "/csrf", "/");
}

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("swagger-ui.html")
      .addResourceLocations("classpath:/META-INF/resources/");

    registry.addResourceHandler("/webjars/**")
      .addResourceLocations("classpath:/META-INF/resources/webjars/");
}

}

Étant donné que vous devrez peut-être activer @EnableWebMvc pour ajouter des intercepteurs, vous devrez peut-être également ajouter des gestionnaires de ressources à swagger, comme dans l'extrait de code ci-dessus.

En considérant toutes vos demandes d'API avec un modèle d'URL de /api/.., vous pouvez indiquer à Spring de ne sécuriser que ce modèle d'URL en utilisant la configuration ci-dessous. Ce qui signifie que vous dites à Spring ce qu'il faut sécuriser plutôt que ce qu'il faut ignorer.

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .csrf().disable()
     .authorizeRequests()
      .antMatchers("/api/**").authenticated()
      .anyRequest().permitAll()
      .and()
    .httpBasic().and()
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}