springboot + security 自定义csrf校验结果

最新推荐文章于 2023-02-19 16:26:58 发布
VIP文章 最新推荐文章于 2023-02-19 16:26:58 发布
阅读量5.9k 收藏 2
点赞数
分类专栏: springboot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mushuntaosama/article/details/78904505
版权

查看csrfFilter源码,会先去HttpSessionCsrfTokenRepository.loadToken加载CsrfToken ,其实就是从session中获取。

public CsrfToken loadToken(HttpServletRequest request) {
        HttpSession session = request.getSession(false);
        if (session == null) {
            return null;
        }
        return (CsrfToken) session.getAttribute(this.sessionAttributeName);
    }

如果不存在,会创建一个CsrfToken 并放入session

public void saveToken(CsrfToken token, HttpServletRequest request,
            HttpServletResponse response) {
        if (token == null) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                session.removeAttribute(this</
最低0.47元/天 解锁文章
米兰的老油条
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+springshiro实现简单的登陆注册模块
07-16
实现了登陆注册功能,并加入权限管理。以及一些安全认证措施,验证码,简单的csrf防范等。终有不足还望赐教。
springboot+spring security +csrf 的拥有后台管理功能的厨具批发商城网站
04-25
文件解压后直接在根目录上找shopping.sql文件导入mysql数据库,创建数据库名为shopping,在此数据库默认导入即可(utf-8),使用idea直接打开项目等待maven导入jar 包即可
spring-security权限控制和校验
terry2870的专栏
03-15 3182
文章目录前言一、spring-security是什么?二、spring-security能为我们做什么?三、使用步骤1.maven依赖2.application.properties文件总结 前言     在我们项目中经常会涉及到权限管理,特别是一些企业级后台应用中,那权限管理是必不可少的。这个时候就涉及到技术选型的问题。在我以前项目中也没用到什么权限框架,就全部到一个spring mvc拦截器中去校验权限,当然,对需求比较少,小型的项目这也不失一个好的实现(实现简单,功能单一),但是对于一些比较大的应用
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1143
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
Spring Security跨站请求伪造(CSRF
猪猪神功屁
08-03 1540
spring securitycsrf
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 2955
SpringSecurity 中的请求路径匹配接口 RequestMatcher
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3467
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
SpringSecurity登录验证没有权限的问题(403)
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
Spring security AccessDeniedException & 403 被拒绝状态
Miao_Yue_LIN的博客
03-05 5559
Spring security AccessDeniedException & 403 被拒绝状态
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot + security 自定义session过期处理方式
热门推荐
mushuntaosama的博客
12-27 2万+
security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法this.doLogout(request, response); this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpi
springboot + security 自定义登陆校验Filter
mushuntaosama的博客
12-26 1万+
默认的登陆校验Filter是UsernamePasswordAuthenticationFilter,实现顺序是 AbstractAuthenticationProcessingFilter.doFilter->UsernamePasswordAuthenticationFilter.attemptAuthentication->ProviderManager.authenticate->Abst
springboot下配置resource路径下的静态资源
mushuntaosama的博客
04-17 8128
springboot下配置resource路径下的静态资源如下:resource下的html文件夹内的文件全是静态资源,可以直接访问了@Configuration public class MyWebAppConfigurer extends WebMvcConfigurerAdapter { @Override public void addResourceHandlers(Reso
springboot整合security+cas单点登陆
mushuntaosama的博客
05-12 4327
参考:http://blog.csdn.net/cl_andywin/article/details/53998986创建application.properties文件,加入以下内容: #CAS服务地址 cas.server.host.url=http://cas.XXXX.net/cas #CAS服务登录地址 cas.server.host.login_url=${cas.server.host
springboot + security +CAS 注意事项
mushuntaosama的博客
12-13 3843
上一篇文章里的SecurityConfig.java配置文件初始化的时候会设置cas登陆后的service路径,如下的serive为“localhost:8080/admin/index.html”,我设置的登陆权限是"/admin/**",访问这个url会跳转到cas服务登陆,但是登陆成功后是无法跳转回这个页面的,因为这个页面和service是同一个 /** * 指定service相关信息
写一套SpringBoot+Security+JWT的动态授权
最新发布
06-01
好的,下面是SpringBoot+Security+JWT的动态授权的实现步骤: 1. 首先,我们需要添加Spring Security和JWT的依赖。在pom.xml文件中添加如下代码: ``` <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 添加JWT的配置。创建一个JwtConfig,用于生成JWT Token和解析JWT Token。代码如下: ``` @Configuration public class JwtConfig { private String secret = "jwt_secret_key"; private long expire = 604800000; @Bean public JwtAuthTokenGenerator jwtAuthTokenGenerator() { return new JwtAuthTokenGenerator(secret, expire); } @Bean public JwtAuthTokenVerifier jwtAuthTokenVerifier() { return new JwtAuthTokenVerifier(secret); } } ``` 3. 添加Spring Security的配置。创建一个SecurityConfig,配置Spring Security的一些基本设置。代码如下: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(jwtAuthenticationProvider()); } @Bean public JwtAuthenticationProvider jwtAuthenticationProvider() { return new JwtAuthenticationProvider(jwtAuthTokenVerifier()); } } ``` 4. 添加JwtAuthenticationFilter。创建一个JwtAuthenticationFilter,用于在每个请求中验证JWT Token。代码如下: ``` public class JwtAuthenticationFilter extends OncePerRequestFilter { private AuthenticationManager authenticationManager; public JwtAuthenticationFilter(AuthenticationManager authenticationManager) { this.authenticationManager = authenticationManager; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = getToken(request); if (token != null) { JwtAuthToken authToken = new JwtAuthToken(token); Authentication authentication = authenticationManager.authenticate(authToken); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } private String getToken(HttpServletRequest request) { String header = request.getHeader("Authorization"); if (header != null && header.startsWith("Bearer ")) { return header.substring(7); } return null; } } ``` 5. 添加JwtAuthenticationProvider。创建一个JwtAuthenticationProvider,用于验证JWT Token是否有效。代码如下: ``` public class JwtAuthenticationProvider implements AuthenticationProvider { private JwtAuthTokenVerifier jwtAuthTokenVerifier; public JwtAuthenticationProvider(JwtAuthTokenVerifier jwtAuthTokenVerifier) { this.jwtAuthTokenVerifier = jwtAuthTokenVerifier; } @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { JwtAuthToken authToken = (JwtAuthToken)authentication; String token = authToken.getToken(); if (jwtAuthTokenVerifier.verify(token)) { return new JwtAuthenticatedUser(token); } throw new BadCredentialsException("Invalid JWT token"); } @Override public boolean supports(Class<?> authentication) { return JwtAuthToken.class.isAssignableFrom(authentication); } } ``` 6. 添加JwtAuthToken。创建一个JwtAuthToken,用于包装JWT Token。代码如下: ``` public class JwtAuthToken extends AbstractAuthenticationToken { private String token; public JwtAuthToken(String token) { super(null); this.token = token; } @Override public Object getCredentials() { return token; } @Override public Object getPrincipal() { return null; } } ``` 7. 添加JwtAuthenticatedUser。创建一个JwtAuthenticatedUser,用于标识已通过验证的用户。代码如下: ``` public class JwtAuthenticatedUser implements Authentication { private String token; public JwtAuthenticatedUser(String token) { this.token = token; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return Collections.emptyList(); } @Override public Object getCredentials() { return null; } @Override public Object getDetails() { return null; } @Override public Object getPrincipal() { return token; } @Override public boolean isAuthenticated() { return true; } @Override public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException { throw new UnsupportedOperationException(); } @Override public String getName() { return null; } } ``` 8. 最后,添加一个LoginController,用于登录并获取JWT Token。代码如下: ``` @RestController public class LoginController { @Autowired private JwtAuthTokenGenerator jwtAuthTokenGenerator; @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (user.getUsername().equals("admin") && user.getPassword().equals("admin")) { String token = jwtAuthTokenGenerator.generateToken(user.getUsername()); return ResponseEntity.ok(token); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } } ``` 这就是SpringBoot+Security+JWT的动态授权的实现步骤,希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值