安全漏洞修复导致SpringBoot2.7与Springfox不兼容的伪命题解决
更新时间:2025年06月03日 08:50:47 作者:meslog
项目基于Spring Boot 2.5.2使用Springfox Swagger2生成API文档,因安全漏洞需升级至2.7.8,导致兼容问题,下面就来介绍一下问题解决,感兴趣的可以了解一下
项目基于 springboot2.5.2 实现的,用 springfox-swagger2 生成与前端对接的 API 文档;pom.xml 中依赖如下
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.5.2</version>
</parent>
<properties>
<maven.compiler.source>8</maven.compiler.source>
<maven.compiler.target>8</maven.compiler.target>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>io.springfox</groupId>
<artifactId>springfox-boot-starter</artifactId>
<version>3.0.0</version>
</dependency>
</dependencies>
启动服务后,就可以访问 Swagger UI
http://localhost:8080/swagger-ui/index.html
前端同事就可以访问这个来对接接口了,后端省去了写接口文档的工作,一切都是那么美好!可突然有一天,安全部门发来报告,说服务存在很多安全漏洞
CVE-2023-20860、CVE-2022-45143、CVE-2023-46589、...
让我们根据报告中的建议进行修复,然后就开始了我的踩坑之旅!
springboot 与 springfox 兼容问题
粗略看了一眼,将 spring-boot 升级,可以解决很多漏洞,既然要升,那就升到可升的最高版本;因为是基于 JDK8,所以 spring-boot 最高能升级到 2.7.8。那就升嘛,不要怂就是干!
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.7.18</version>
</parent>
启动服务,第一个坑来了:NullPointerException
2025-05-30 21:13:42.264|ERROR|main|818|o.s.boot.SpringApplication :Application run failed org.springframework.context.ApplicationContextException: Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:182) at org.springframework.context.support.DefaultLifecycleProcessor.access$200(DefaultLifecycleProcessor.java:54) at org.springframework.context.support.DefaultLifecycleProcessor$LifecycleGroup.start(DefaultLifecycleProcessor.java:357) at java.lang.Iterable.forEach(Iterable.java:75) at org.springframework.context.support.DefaultLifecycleProcessor.startBeans(DefaultLifecycleProcessor.java:156) at org.springframework.context.support.DefaultLifecycleProcessor.onRefresh(DefaultLifecycleProcessor.java:124) at org.springframework.context.support.AbstractApplicationContext.finishRefresh(AbstractApplicationContext.java:946) at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:594) at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:147) at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:732) at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:409) at org.springframework.boot.SpringApplication.run(SpringApplication.java:308) at org.springframework.boot.SpringApplication.run(SpringApplication.java:1300) at org.springframework.boot.SpringApplication.run(SpringApplication.java:1289) at com.qsl.Application.main(Application.java:16) Caused by: java.lang.NullPointerException: null at springfox.documentation.spring.web.WebMvcPatternsRequestConditionWrapper.getPatterns(WebMvcPatternsRequestConditionWrapper.java:56) at springfox.documentation.RequestHandler.sortedPaths(RequestHandler.java:113) at springfox.documentation.spi.service.contexts.Orderings.lambda$byPatternsCondition$3(Orderings.java:89) at java.util.Comparator.lambda$comparing$77a9974f$1(Comparator.java:469) at java.util.TimSort.countRunAndMakeAscending(TimSort.java:355) at java.util.TimSort.sort(TimSort.java:220) at java.util.Arrays.sort(Arrays.java:1512) at java.util.ArrayList.sort(ArrayList.java:1454) at java.util.stream.SortedOps$RefSortingSink.end(SortedOps.java:387) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:482) at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471) at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708) at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234) at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499) at springfox.documentation.spring.web.plugins.WebMvcRequestHandlerProvider.requestHandlers(WebMvcRequestHandlerProvider.java:81) at java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:193) at java.util.ArrayList$ArrayListSpliterator.forEachRemaining(ArrayList.java:1374) at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:481) at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471) at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708) at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234) at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.withDefaults(AbstractDocumentationPluginsBootstrapper.java:107) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.buildContext(AbstractDocumentationPluginsBootstrapper.java:91) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.bootstrapDocumentationPlugins(AbstractDocumentationPluginsBootstrapper.java:82) at springfox.documentation.spring.web.plugins.DocumentationPluginsBootstrapper.start(DocumentationPluginsBootstrapper.java:100) at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:179) ... 14 common frames omitted
遇到问题不要怕
查询问题并解决问题嘛;从哪查,我想大家已经达成了统一的共识:大数据模型。deepseek 就是热门之一,我们直接将堆栈信息扔给他,让他提供解决方案。他一针见血分析出了原因
这个错误通常是由于 Springfox Swagger(
springfox-swagger2)与 Spring Boot 版本不兼容 或 Spring MVC 路径匹配策略冲突 导致的。以下是几种解决方案
降级 Spring Boot 版本
Spring Boot 2.6+开始与springfox不兼容,但Springfox Swagger 2.x已经停止维护了,所以说通过升级 Springfox Swagger 来适配 Spring Boot 2.6+ 是不行了。我们的目的是升级 Spring Boot,那么降级 Spring Boot 这个方案肯定是行不通的。
升级到 SpringDoc OpenAPI
SpringDoc 是 Swagger 的替代方案,支持 OpenAPI 3.0,兼容 Spring Boot 2.6+ 和 3.x
考虑到注解变动大,需要调整的地方太多,这个方案不到万不得已不采用
修改路径匹配策略
如果不想降级 Spring Boot,可以调整路径匹配策略
spring: mvc: pathmatch: matching-strategy: ant_path_matcher这个调整简单,感觉可行,试试发现雀氏可以,采用这种方案
Swagger 配置是否正确
确保
@EnableSwagger2和Docket配置正确@Configuration @EnableSwagger2 public class SwaggerConfig { @Bean public Docket api() { return new Docket(DocumentationType.SWAGGER_2) .select() .apis(RequestHandlerSelectors.basePackage("com.your.package")) // 替换成你的 Controller 包名 .paths(PathSelectors.any()) .build(); } }这个确定是配置正确的,不是这个问题
deepseek 还给了其他方案,大家可以结合自己的实际情况,看看方案是否适用。如果你们以为坑就这么填平了,那只能说你们还是太年轻啦
我再加个依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
启动服务,同样的问题又来了
org.springframework.context.ApplicationContextException: Failed to start bean 'documentationPluginsBootstrapper'; nested exception is java.lang.NullPointerException at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:182) at org.springframework.context.support.DefaultLifecycleProcessor.access$200(DefaultLifecycleProcessor.java:54) at org.springframework.context.support.DefaultLifecycleProcessor$LifecycleGroup.start(DefaultLifecycleProcessor.java:357) at java.lang.Iterable.forEach(Iterable.java:75) at org.springframework.context.support.DefaultLifecycleProcessor.startBeans(DefaultLifecycleProcessor.java:156) at org.springframework.context.support.DefaultLifecycleProcessor.onRefresh(DefaultLifecycleProcessor.java:124) at org.springframework.context.support.AbstractApplicationContext.finishRefresh(AbstractApplicationContext.java:946) at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:594) at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:147) at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:732) at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:409) at org.springframework.boot.SpringApplication.run(SpringApplication.java:308) at org.springframework.boot.SpringApplication.run(SpringApplication.java:1300) at org.springframework.boot.SpringApplication.run(SpringApplication.java:1289) at com.qsl.Application.main(Application.java:16) Caused by: java.lang.NullPointerException: null at springfox.documentation.spring.web.WebMvcPatternsRequestConditionWrapper.getPatterns(WebMvcPatternsRequestConditionWrapper.java:56) at springfox.documentation.RequestHandler.sortedPaths(RequestHandler.java:113) at springfox.documentation.spi.service.contexts.Orderings.lambda$byPatternsCondition$3(Orderings.java:89) at java.util.Comparator.lambda$comparing$77a9974f$1(Comparator.java:469) at java.util.TimSort.countRunAndMakeAscending(TimSort.java:355) at java.util.TimSort.sort(TimSort.java:220) at java.util.Arrays.sort(Arrays.java:1512) at java.util.ArrayList.sort(ArrayList.java:1454) at java.util.stream.SortedOps$RefSortingSink.end(SortedOps.java:387) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.Sink$ChainedReference.end(Sink.java:258) at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:482) at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471) at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708) at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234) at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499) at springfox.documentation.spring.web.plugins.WebMvcRequestHandlerProvider.requestHandlers(WebMvcRequestHandlerProvider.java:81) at java.util.stream.ReferencePipeline$3$1.accept(ReferencePipeline.java:193) at java.util.ArrayList$ArrayListSpliterator.forEachRemaining(ArrayList.java:1374) at java.util.stream.AbstractPipeline.copyInto(AbstractPipeline.java:481) at java.util.stream.AbstractPipeline.wrapAndCopyInto(AbstractPipeline.java:471) at java.util.stream.ReduceOps$ReduceOp.evaluateSequential(ReduceOps.java:708) at java.util.stream.AbstractPipeline.evaluate(AbstractPipeline.java:234) at java.util.stream.ReferencePipeline.collect(ReferencePipeline.java:499) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.withDefaults(AbstractDocumentationPluginsBootstrapper.java:107) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.buildContext(AbstractDocumentationPluginsBootstrapper.java:91) at springfox.documentation.spring.web.plugins.AbstractDocumentationPluginsBootstrapper.bootstrapDocumentationPlugins(AbstractDocumentationPluginsBootstrapper.java:82) at springfox.documentation.spring.web.plugins.DocumentationPluginsBootstrapper.start(DocumentationPluginsBootstrapper.java:100) at org.springframework.context.support.DefaultLifecycleProcessor.doStart(DefaultLifecycleProcessor.java:179) ... 14 common frames omitted
同个问题出现一次也就算了,换个方式出现第二次,有点欺负人了!
此时我们再去问 deepseek,给出的解决方案,尝试了都不对,好在在网上找到了解决方案,增加如下配置
@Configuration
@EnableSwagger2
public class SwaggerConfig {
/**
* springboot 2.7.x不支持swagger2,注册bean进行兼容
* 该方法在Spring Boot 2.7.x中手动注册WebMvcEndpointHandlerMapping,用于解决Swagger无法直接访问Actuator端点的问题。下面详细说明其作用:
* 1. 收集所有可暴露的端点
* 使用以下组件获取不同类型的端点:
* webEndpointsSupplier.getEndpoints():获取所有基于Web的端点(如/actuator/health)。
* servletEndpointsSupplier.getEndpoints():获取Servlet类型的端点(如/actuator/servlet)。
* controllerEndpointsSupplier.getEndpoints():获取Controller类型的端点。
* 将这些端点统一添加到allEndpoints列表中,以便后续处理。
* 2. 设置端点的基础路径
* 从WebEndpointProperties中获取配置的端点基础路径(basePath),默认值通常是/actuator。
* 创建一个EndpointMapping对象,并传入基础路径,用于定义端点的URL映射规则。
* 3. 判断是否需要注册端点链接映射
* 判断条件如下:
* 如果启用了端点发现(webEndpointProperties.getDiscovery().isEnabled())。
* 并且设置了有效的基础路径(StringUtils.hasText(basePath)),或者管理端口与应用端口不同(ManagementPortType.DIFFERENT)。
* 如果满足条件,则创建端点链接映射,用于生成包含所有可用端点的首页链接(例如/actuator)。
* 4. 构建并返回WebMvcEndpointHandlerMapping
* 创建WebMvcEndpointHandlerMapping实例时传入以下参数:
* endpointMapping:定义端点的基础路径。
* webEndpoints:需要注册的Web类型端点集合。
* endpointMediaTypes:定义端点支持的媒体类型(如JSON、YAML等)。
* corsConfiguration:跨域资源共享(CORS)配置。
* new EndpointLinksResolver(allEndpoints, basePath):用于生成端点链接的解析器。
* shouldRegisterLinksMapping:是否注册端点链接映射。
* null:通常用于指定自定义的请求谓词,此处为默认值。
* 返回的WebMvcEndpointHandlerMapping使Swagger能够正常访问和展示Actuator端点的信息。
* 5. 兼容性适配
* Spring Boot 2.7.x之后,Swagger 2不再直接支持访问Actuator端点,此方法通过手动注册WebMvcEndpointHandlerMapping来恢复兼容性,确保Swagger UI可以正确显示和调用这些监控和管理接口。
* 总结
* 此方法的核心目的是手动注册端点处理器映射,以确保Swagger能够正确访问Spring Boot Actuator提供的各种监控和管理端点。通过整合多种端点类型、设置基础路径、启用链接映射等方式,使得开发者能够在Swagger UI中方便地测试和使用这些端点。
*/
@Bean
public WebMvcEndpointHandlerMapping webEndpointServletHandlerMapping(WebEndpointsSupplier webEndpointsSupplier,
ServletEndpointsSupplier servletEndpointsSupplier,
ControllerEndpointsSupplier controllerEndpointsSupplier,
EndpointMediaTypes endpointMediaTypes,
CorsEndpointProperties corsProperties,
WebEndpointProperties webEndpointProperties,
Environment environment) {
List<ExposableEndpoint<?>> allEndpoints = new ArrayList<>();
Collection<ExposableWebEndpoint> webEndpoints = webEndpointsSupplier.getEndpoints();
allEndpoints.addAll(webEndpoints);
allEndpoints.addAll(servletEndpointsSupplier.getEndpoints());
allEndpoints.addAll(controllerEndpointsSupplier.getEndpoints());
String basePath = webEndpointProperties.getBasePath();
EndpointMapping endpointMapping = new EndpointMapping(basePath);
boolean shouldRegisterLinksMapping =
webEndpointProperties.getDiscovery().isEnabled() && (StringUtils.hasText(basePath)
|| ManagementPortType.get(environment).equals(ManagementPortType.DIFFERENT));
return new WebMvcEndpointHandlerMapping(endpointMapping, webEndpoints, endpointMediaTypes,
corsProperties.toCorsConfiguration(), new EndpointLinksResolver(allEndpoints, basePath),
shouldRegisterLinksMapping, null);
}
}
启动服务,不再报错,Swagger UI 也能正常访问
也许你们会觉得这个坑解决的也快呀,没什么大不了的,可实际是项目中有众多的依赖,你如何知道是因为 spring-boot-starter-actuator 导致的?我实际排查这个问题的过程,可不是如上所说的那般容易,但有一点我们要清楚
我们遇到的坑,肯定有前辈遇到过
所以我们要做的是想清楚关键词,到大数据模型搜索,或者到搜索引擎搜索
总结
归根结底,还是
Springfox没有去适配Spring Boot的升级,所以可能的话,还是推荐大家用SpringDoc OpenAPI不到万不得已,不要去升级组件
坑我已经替你们踩过
都是血的教训,希望大家引以为戒
遇到问题,当下推荐的做法是用
大数据模型,关键词给的好,得到的回答八九不离十就是正确的解决方案
到此这篇关于安全漏洞修复导致SpringBoot2.7与Springfox不兼容的伪命题解决的文章就介绍到这了,更多相关SpringBoot2.7与Springfox不兼容内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
您可能感兴趣的文章:
相关文章
如何应对spring框架的HTTP ERROR 400 Bad Request错
这篇文章主要介绍了如何应对spring框架的HTTP ERROR 400 Bad Request错误返回问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-08-08
Spring MVC学习之DispatcherServlet请求处理详析
这篇文章主要给大家介绍了关于Spring MVC学习教程之DispatcherServlet请求处理的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2018-11-11
solr 配置中文分析器/定义业务域/配置DataImport功能方法(测试用)
下面小编就为大家带来一篇solr 配置中文分析器/定义业务域/配置DataImport功能方法(测试用)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-09-09
这篇文章主要介绍了Springboot整合多数据源代码示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-08-08
spring boot 加载web容器tomcat流程源码分析
本文章主要描述spring boot加载web容器 tomcat的部分,为了避免文章知识点过于分散,其他相关的如bean的加载,tomcat内部流程等不做深入讨论,具体内容详情跟随小编一起看看吧2021-06-06
SpringBoot集成WebSocket的两种方式(JDK内置版和Spring封装版)
这篇文章主要介绍了SpringBoot集成WebSocket的两种方式,这两种方式为JDK内置版和Spring封装版,本文结合示例代码给大家介绍的非常详细,需要的朋友可以参考下2023-06-06
java中StringBuffer的length()和capacity()方法对比
这篇文章主要介绍了java中StringBuffer的length()和capacity()方法对比,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-07-07
这篇文章主要介绍了Java多线程之Disruptor入门,文中有非常详细的代码示例,对正在学习java多线程的小伙伴们有非常好的帮助,需要的朋友可以参考下2021-04-04
下面小编就为大家带来一篇Eclipse搭建spring开发环境图文教程(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-07-07
这篇文章主要介绍了,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-06-06
最新评论