Как разрешить Swagger обойти WebSecurityConfig? - PullRequest
Новая
       8

Как разрешить Swagger обойти WebSecurityConfig?

1 голос
/ 13 октября 2019

У меня есть базовая конфигурация, подобная этой 

public class WebSecurityConfig extends WebSecurityConfigurerAdapter

 protected void configure(HttpSecurity httpSecurity) throws Exception {
        // We don't need CSRF for this example
        httpSecurity.csrf().disable()
                // dont authenticate this particular request
                .authorizeRequests().antMatchers("/authenticate").permitAll().
                // all other requests need to be authenticated
                        anyRequest().authenticated().and().
                        // make sure we use stateless session; session won't be used to
                        // store user's state.
                        exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // Add a filter to validate the tokens with every request
        httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }

Так что, в основном, она позволяет / проходит аутентификацию, но все остальное требует токена. Как мне разрешить ему обойти и Swagger? Это усложняет разработку, потому что команда использует Swagger для просмотра документации по API.

1 Ответ

1 голос
/ 13 октября 2019

Добавьте конечные точки сваггера в antMatchers с permitAll(). ИЛИ вы можете использовать configure (WebSecurity WebSecurity) и использовать .ignoring() см. здесь 

protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable()
                .authorizeRequests()
                .antMatchers("/authenticate").permitAll()
                .antMatchers("/v2/api-docs", "/configuration/**", "/swagger*/**", "/webjars/**").permitAll()
                .anyRequest().authenticated().and()
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }
...