Swagger-UI与Spring Security集成问题解决方案

2025-06-05 16:01:25作者：宗隆裙

项目地址：https://gitcode.com/gh_mirrors/spr/springfox

问题背景

在Spring Boot 3和Spring Security 6集成的项目中，开发者经常遇到无法访问Swagger-UI的问题。具体表现为访问/swagger-ui.html路径时返回403未授权错误，即使已经在Spring Security配置中明确允许该路径。

问题分析

这个问题通常由以下几个原因导致：

路径匹配不完整：Swagger-UI实际上依赖多个路径资源，仅开放/swagger-ui.html是不够的
Spring Security 6的变化：新版本中安全配置方式有所改变，requestMatchers的用法需要特别注意
静态资源处理：Swagger-UI需要加载CSS、JS等静态资源，这些也需要被允许访问

解决方案

方案一：使用WebSecurityCustomizer

最推荐的解决方案是使用WebSecurityCustomizer来完全忽略Swagger相关路径的安全检查：

@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
    return web -> web.ignoring().requestMatchers(
            "/swagger-ui/**", 
            "/v3/api-docs/**",
            "/swagger-ui.html"
    );
}

这种方法简单有效，能够确保所有Swagger相关的资源都不受安全限制。

方案二：完整配置HttpSecurity

如果希望保持安全配置的统一性，可以在SecurityFilterChain中完整配置所有Swagger需要的路径：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .csrf(AbstractHttpConfigurer::disable)
        .authorizeHttpRequests(auth -> auth
            .requestMatchers(
                "/swagger-ui/**",
                "/v3/api-docs/**",
                "/swagger-ui.html",
                "/swagger-resources/**",
                "/webjars/**"
            ).permitAll()
            // 其他安全配置...
        );
    return http.build();
}

方案三：路径匹配优化

对于Spring Security 6，路径匹配需要更加精确：

.requestMatchers(
    "/swagger-ui.html",
    "/swagger-ui/**",
    "/v3/api-docs/**",
    "/swagger-resources",
    "/swagger-resources/**",
    "/configuration/ui",
    "/configuration/security",
    "/webjars/**"
).permitAll()

最佳实践建议

开发环境与生产环境分离：建议只在开发环境中启用Swagger，生产环境应禁用
版本兼容性检查：确保使用的Springfox或SpringDoc版本与Spring Boot 3兼容
测试所有相关路径：不仅要测试/swagger-ui.html，还要确保所有依赖资源都能正常加载
考虑使用SpringDoc：对于新项目，建议使用SpringDoc OpenAPI而不是传统的Springfox，因为它对Spring Boot 3有更好的支持