springdoc-openapi apply default global SecurityScheme possible？

是的，您可以在同一个地方调用：addSecurityItem

  @Bean
  public OpenAPI customOpenAPI() {
    return new OpenAPI()
            .components(new Components().addSecuritySchemes("bearer-jwt",
                new SecurityScheme().type(SecurityScheme.Type.HTTP).scheme("bearer").bearerFormat("JWT")
                    .in(SecurityScheme.In.HEADER).name("Authorization")))
            .info(new Info().title("App API").version("snapshot"))
            .addSecurityItem(
                    new SecurityRequirement().addList("bearer-jwt", Arrays.asList("read", "write")));
  }

全局安全架构可以被带有注释的其他架构覆盖。包括删除操作的安全架构。例如，我们可以删除注册路径的安全性。@SecurityRequirements

@SecurityRequirements
@PostMapping("/registration")
public ResponseEntity post(@RequestBody @Valid Registration: registration) {
    return registrationService.register(registration);
}

同时仍保留其他 API 的安全架构。

旧答案（2019年12月20日）：

全局安全架构可以被带有注释的其他架构覆盖。但对于不安全的路径，它不能被删除。它在spreddoc-openapi中缺少fueature，OpenAPI标准允许它。请参阅禁用特定操作的全局安全性@SecurityRequirements

不过有一个解决方法。springdoc-openapi有一个OpenApiCustomiser的概念，可以用来拦截生成的模式。在定制器内部，可以通过编程方式修改操作。要删除任何继承的安全性，需要将该字段设置为空数组。逻辑可以基于任何任意规则，例如操作名称。我使用了标签。security

定制员：

import io.swagger.v3.oas.models.OpenAPI;
import io.swagger.v3.oas.models.Operation;
import io.swagger.v3.oas.models.PathItem;
import org.springdoc.api.OpenApiCustomiser;
import org.springframework.stereotype.Component;

import javax.validation.constraints.NotNull;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.function.Function;
import java.util.stream.Collectors;
import java.util.stream.Stream;

@Component
public class SecurityOverrideCustomizer implements OpenApiCustomiser {

    public static final String UNSECURED = "security.open";

    private static final List<Function<PathItem, Operation>> OPERATION_GETTERS = Arrays.asList(
            PathItem::getGet, PathItem::getPost, PathItem::getDelete, PathItem::getHead,
            PathItem::getOptions, PathItem::getPatch, PathItem::getPut);

    @Override
    public void customise(OpenAPI openApi) {
        openApi.getPaths().forEach((path, item) -> getOperations(item).forEach(operation -> {
            List<String> tags = operation.getTags();
            if (tags != null && tags.contains(UNSECURED)) {
                operation.setSecurity(Collections.emptyList());
                operation.setTags(filterTags(tags));
            }
        }));
    }

    private static Stream<Operation> getOperations(PathItem pathItem) {
        return OPERATION_GETTERS.stream()
                .map(getter -> getter.apply(pathItem))
                .filter(Objects::nonNull);
    }

    private static List<String> filterTags(List<String> tags) {
        return tags.stream()
                .filter(t -> !t.equals(UNSECURED))
                .collect(Collectors.toList());
    }
}

现在我们可以添加到不安全的方法中：@Tag(name = SecurityOverrideCustomizer.UNSECURED)

    @Tag(name = SecurityOverrideCustomizer.UNSECURED)
    @GetMapping("/open")
    @ResponseBody
    public String open() {
        return "It works!";
    }

请记住，这只是一种解决方法。希望这个问题将在下一个spredoc-openapi版本中得到解决（在撰写本文时，当前版本是1.2.18）。

有关工作示例，请参阅 springdoc-security-override-fix

使用spredoc-openapi的v1.2.29测试：可以使用以下方法禁用特定端点的安全性：@SecurityRequirements

@GetMapping("/open")
@ResponseBody
@SecurityRequirements
public String open() {
    return "It works!";
}

对于较旧的版本，例如使用操作自定义器使用 v1.2.28 进行测试：

public static final String UNSECURED = "security.open";

@Bean
public OperationCustomizer customize() {
    return (Operation operation, HandlerMethod handlerMethod) -> {
        List<String> tags = operation.getTags();
        if (tags != null && tags.contains(UNSECURED)) {
            operation.setSecurity(Collections.emptyList());
            operation.setTags(tags.stream()
                    .filter(t -> !t.equals(UNSECURED))
                    .collect(Collectors.toList()));
        }
        return operation;
    };
}