SpringDoc OpenAPI 与 Spring Security 集成常见问题解析

问题背景

在使用 SpringBoot 3.4.4 版本开发项目时，开发者经常会遇到无法访问 /v3/api-docs/ 端点的问题。这个问题通常表现为访问时出现 Whitelabel Error Page，而实际上开发者已经按照文档配置了 Spring Security 的权限规则。

问题现象

开发者配置了如下安全规则：

.authorizeHttpRequests((requests) -> requests
    .requestMatchers(HttpMethod.GET, "/v3/api-docs", "/v3/api-docs/**").permitAll()
    .requestMatchers("/api/auth/**", "/swagger-ui/**", "/error").permitAll()
    .anyRequest().authenticated())

但从日志可以看到，系统仍然尝试寻找 Bearer Token：

No Bearer token found for URI: /v3/api-docs/

问题分析

1. 路径匹配问题：Spring Security 的路径匹配规则需要特别注意。/v3/api-docs 和 /v3/api-docs/ 在路径匹配中被视为不同的路径。

2. 通配符使用：在配置中使用了 /** 后缀，这应该能够匹配所有子路径，但实际效果可能因 Spring Security 版本差异而不同。

3. HTTP 方法限制：开发者限制了只允许 GET 方法访问，这可能导致某些特殊情况下的访问被拒绝。

解决方案

经过实践验证，以下配置能够有效解决问题：

.requestMatchers("/api/auth/**", "/swagger-ui/**", "/v3/**", "/error").permitAll()

关键改进点：

1. 使用 /v3/** 来匹配所有 v3 路径下的请求
2. 移除了 HTTP 方法限制，使配置更加通用
3. 确保路径匹配覆盖所有可能的访问方式

版本兼容性注意事项

在使用 springdoc-openapi 时，版本兼容性至关重要。必须确保 springdoc-openapi-starter-webmvc-ui 的版本与 SpringBoot 版本相匹配。版本不匹配可能导致各种难以诊断的问题，包括但不限于端点无法访问、文档生成不完整等。

最佳实践建议

1. 统一路径匹配规则：建议使用通配符形式（如 /v3/**）来简化配置并提高可靠性。

2. 避免过度限制：除非有特殊安全需求，否则不建议在开放端点处限制 HTTP 方法。

3. 日志分析：遇到问题时，首先检查 Spring Security 的调试日志，了解请求被拦截的具体原因。

4. 测试验证：配置完成后，应测试各种可能的访问路径（带/不带斜杠）以确保配置全面。

5. 版本管理：严格管理依赖版本，特别是 SpringBoot 与 springdoc-openapi 的版本对应关系。

通过以上分析和解决方案，开发者可以避免在 Spring Security 与 SpringDoc OpenAPI 集成过程中遇到的常见问题，确保 API 文档能够正常访问。