浅析如何使用Swagger生成带权限控制的API文档

更新时间：2025年02月14日 11:23:09 作者：五行星辰

当涉及到权限控制时,如何生成既安全又详细的 API 文档就成了一个关键问题,所以这篇文章小编就来和大家好好聊聊如何用 Swagger 来生成带有权限控制的 API 文档吧

在咱们的开发工作里，API 文档就像是项目的说明书，清晰准确的文档能让我们的开发效率大幅提升。而当涉及到权限控制时，如何生成既安全又详细的 API 文档就成了一个关键问题。今天，我就和大家好好唠唠如何用 Swagger 来生成带有权限控制的 API 文档。

准备工作

咱们做开发，就像行军打仗，工具和资源就是我们的“粮草”。在使用 Swagger 生成带权限控制的 API 文档之前，得先把相关的依赖添加到项目里。如果你用的是 Maven 项目，在 pom.xml 里加上下面这些依赖：

<dependencies>
    <!-- Swagger API 注解 -->
    <dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger2</artifactId>
        <version>2.9.2</version>
    </dependency>
    <!-- Swagger UI -->
    <dependency>
        <groupId>io.springfox</groupId>
        <artifactId>springfox-swagger-ui</artifactId>
        <version>2.9.2</version>
    </dependency>
    <!-- Spring Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

这些依赖就像是我们的武器装备，有了它们，我们才能在开发的战场上“披荆斩棘”。

配置 Swagger

有了依赖，接下来就要对 Swagger 进行配置，让它能按照我们的需求生成 API 文档。创建一个 Swagger 配置类，就像给一场演出搭建舞台一样：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;
 
@Configuration
@EnableSwagger2
public class SwaggerConfig {
    @Bean
    public Docket api() {
        return new Docket(DocumentationType.SWAGGER_2)
               .select()
               .apis(RequestHandlerSelectors.basePackage("com.example.controller"))
               .paths(PathSelectors.any())
               .build();
    }
}

这里我们指定了要扫描的控制器包路径，这样 Swagger 就能知道从哪里获取 API 的信息了。

权限控制

在实际的项目中，API 文档往往包含了很多敏感信息，所以给文档加上权限控制是非常必要的。我们用 Spring Security 来实现这个功能，创建一个 Spring Security 配置类：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
 
@Configuration
@EnableWebSecurity
public class SecurityConfig {
 
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
               .authorizeRequests()
               .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/v2/api-docs").hasRole("ADMIN")
               .anyRequest().authenticated()
               .and()
               .httpBasic();
        return http.build();
    }
 
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user =
             User.withDefaultPasswordEncoder()
               .username("admin")
               .password("password")
               .roles("ADMIN")
               .build();
 
        return new InMemoryUserDetailsManager(user);
    }
}

在这个配置里，我们规定只有拥有 ADMIN 角色的用户才能访问 Swagger UI 和 API 文档相关的路径，就像给文档加上了一把安全锁，只有有钥匙的人才能打开。

给 API 加上权限注解

在控制器的方法上，我们要添加权限注解和 Swagger 注解，这样在生成的文档里就能清楚地看到每个 API 的权限要求了：

import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
 
@RestController
@RequestMapping("/api")
@Api(value = "示例 API", description = "这是一个带有权限控制的示例 API 文档")
public class ExampleController {
 
    @GetMapping("/hello")
    @ApiOperation(value = "获取问候语", notes = "需要 ADMIN 角色才能访问")
    @PreAuthorize("hasRole('ADMIN')")
    public String hello() {
        return "Hello, World!";
    }
}

这里用 @PreAuthorize 注解对方法进行权限控制，同时在 @ApiOperation 注解的 notes 属性中说明权限要求，就像给每个 API 贴上了一个“使用说明”。

查看文档

当我们完成了以上所有步骤，就可以启动 Spring Boot 应用程序，然后访问 http://localhost:8080/swagger-ui.html（端口号根据实际情况修改）。这时浏览器会弹出 HTTP Basic 认证对话框，输入我们在 SecurityConfig 中配置的用户名和密码（这里是 admin 和 password），认证通过后就能看到带有权限信息的 API 文档了，就像打开了一扇通往知识宝库的大门。

注意事项

在实际项目中，我们要注意一些细节。比如，示例中使用的 withDefaultPasswordEncoder() 并不是很安全，建议使用 BCryptPasswordEncoder 等更安全的密码存储方式。另外，我们可以根据实际业务需求调整权限规则和认证方式，像使用 OAuth2 等。

到此这篇关于浅析如何使用Swagger生成带权限控制的API文档的文章就介绍到这了,更多相关Swagger生成API文档内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Swagger
API

一文带你了解Java中的ForkJoin
这篇文章主要介绍了一文带你了解Java中的ForkJoin，ForkJoinTask本身的依赖关系并不复杂，它与异步任务计算FutureTask一样均实现了Future接口，下文更多相关资料，需要的小伙伴可以参考一下
2022-04-04
Java 文创商城系统的实现流程
读万卷书不如行万里路，只学书上的理论是远远不够的，只有在实战中才能获得能力的提升，本篇文章手把手带你用java+SSM+mysql+maven+tomcat实现一个文创商城系统,大家可以在过程中查缺补漏，提升水平
2021-11-11
Java 对象在 JVM 中的内存布局超详细解说
这篇文章主要介绍了Java 对象在 JVM 中的内存布局超详细解说，文章围绕主题展开详细的内容介绍，具有一定的参考价值，需要的小伙伴可以参考一下
2022-09-09
SpringSecurity 手机号登录功能实现
这篇文章主要介绍了SpringSecurity 手机号登录功能实现,本文通过实例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧
2023-12-12
SpringBoot实现邮件发送的示例代码
电子邮件是—种用电子手段提供信息交换的通信方式，是互联网应用最广的服务。本文详细为大家介绍了SpringBoot实现发送电子邮件功能的示例代码，需要的可以参考一下
2022-04-04
SpringMVC中的常用注解和用法举例详解
在Spring和SpringMVC中,注解的使用大大简化了配置,提高了代码的可读性和可维护性,这篇文章主要给大家介绍了关于SpringMVC中常用注解和用法的相关资料,需要的朋友可以参考下
2024-08-08
Java实现图片翻转以及任意角度旋转
这篇文章主要为大家详细介绍了Java实现图片翻转以及任意角度旋转，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-01-01
nacos配置实例权重不生效问题
这篇文章主要介绍了nacos配置实例权重不生效问题及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-07-07
Mybatis中SqlSession下的四大对象之执行器（executor）
mybatis中sqlsession下的四大对象是指：executor, statementHandler,parameterHandler，resultHandler对象。这篇文章主要介绍了Mybatis中SqlSession下的四大对象之执行器（executor）,需要的朋友可以参考下
2019-04-04
RestTemplate发送get和post请求,下载文件的实例
这篇文章主要介绍了RestTemplate发送get和post请求,下载文件的实例，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-09-09