我有一个需求,我想根据用户角色在 swagger 中列出 api 方法。
例如:-
我不知道如何实现。
我正在使用Swashbuckle.AspNetCore Version="1.0.0"
【问题讨论】:
标签: api swagger swagger-ui user-roles swashbuckle
可能的解决方案:
@Bean
public Docket api1() {
...
return new Docket(DocumentationType.SWAGGER_2)
...
.groupName("api1")
...
.paths(PathSelectors.ant("/api/api1Url/**"))
.build().apiInfo(metaData());
}
@Bean
public Docket api2() {
...
return new Docket(DocumentationType.SWAGGER_2)
...
.groupName("api2")
...
.paths(PathSelectors.ant("/api/api2Url/**"))
.build().apiInfo(metaData());
}
DocumentationCache,它会覆盖 Swagger 的@@Primary
@Component
public class RolesAwareDocumentationCache extends DocumentationCache {
private final Map<String, Set<String>> allowedResourcesPerRole =
Map.of(SecurityConfig.API1_ROLE, Collections.singleton("api1"),
SecurityConfig.API2_ROLE, Collections.singleton("api2"),
SecurityConfig.SOME_ADMIN_ROLE, Set.of("api1", "api2"));
@Override
public Map<String, Documentation> all() {
var documentationMap = super.all();
return documentationMap.entrySet().stream()
.filter(e -> isAllowedForRole(e.getKey())) // check if has access to this group
.collect(Collectors.toMap(Map.Entry::getKey, Map.Entry::getValue));
}
private boolean isAllowedForRole(String groupName) {
var userAuthorities = SecurityContextHolder.getContext().getAuthentication().getAuthorities().stream()
.map(Object::toString)
.collect(Collectors.toUnmodifiableSet());
return userAuthorities.stream()
.map(allowedResourcesPerRole::get) // get allowed resources for all of the user roles
.filter(Objects::nonNull)
.flatMap(Collection::stream) // flatMap to collection
.anyMatch(s -> s.contains(groupName)); // check if result collection has specified group name
}
}
因此,此缓存将根据安全上下文中当前用户的角色返回组。您实际上可以使用任何规则来限制对不同组的访问。
同时不要忘记为HttpSecurity 定义适当的权限,以限制对不允许的角色调用 API。
【讨论】:
尝试使用 IDocumentFilter,您可以限制用户在 SwaggerDocument 和 swagger-ui 中获取的内容。
【讨论】: