Spring Security Oauth2 : Possible CSRF detected

最新推荐文章于 2022-06-22 21:16:21 发布
最新推荐文章于 2022-06-22 21:16:21 发布
阅读量880 收藏
点赞数 1
文章标签: java 测试 web.xml
原文链接:https://my.oschina.net/xuzimian/blog/3069711
版权

Spring Security Oauth2 : Possible CSRF detected

使用Spring Security 作为 Oauth2 授权服务器时,在授权服务器登录授权后,重定向到客户端服务器时,出现了401 Unauthorized 错误。明明已经授权了,为何还会未授权了。

跟踪代码发现,抛出了这个异常:

"Possible CSRF detected - state parameter was required but no state could be found"
导致这个异常的原因是,我在本地部署调试授权服务程序,和客户端服务程序,均采用的是localhost域名,只是端口不同,这就导致两个web程序在写Session的cookie标识id(JSESSIONID)
时会被覆盖。

具体发送的场景流程是,授权服务登录授权后,会重定向到客户端的授权地址,这时会在session域中取出OAuth2ClientContext ,代码在OAuth2RestOperationsConfiguration类中:
 @Bean
 @Scope(value = "session", proxyMode = ScopedProxyMode.INTERFACES)
 public DefaultOAuth2ClientContext oauth2ClientContext() {
     return new DefaultOAuth2ClientContext(this.accessTokenRequest);
}

   此时,由于Session的标识id被覆盖,自然认为不在一个会话中,那就不会取到原来在客户端要求授权跳转前存放的OAuth2ClientContext,也就导致了爆出这个异常:

private MultiValueMap<String, String> getParametersForTokenRequest(AuthorizationCodeResourceDetails resource,
			AccessTokenRequest request) {

		MultiValueMap<String, String> form = new LinkedMultiValueMap<String, String>();
		form.set("grant_type", "authorization_code");
		form.set("code", request.getAuthorizationCode());

		Object preservedState = request.getPreservedState();
		if (request.getStateKey() != null || stateMandatory) {
			// The token endpoint has no use for the state so we don't send it back, but we are using it
			// for CSRF detection client side...
			if (preservedState == null) {
				throw new InvalidRequestException(
						"Possible CSRF detected - state parameter was required but no state could be found");
			}
		}

		//省略代码...

		return form;

	}

 那么如何解决这个问题呢?

   1.为不同web程序采用不同的域名,由于是本地部署,那么可以为本机配置几个127.0.0.1 的 域名,如同localhost 指向 本机回还地址一样。这个本机域名配置可以自行百度。

   2.为session的标识id采用不同的名称,如授权服务器用SESSIONID,客户端JSESSIONID不变.(如果多个客户端,那就重命名,以免干涉),以下是如何设置:

      2.1   Spring Mvc  web.xml 

<session-config>
  <cookie>
    <name>SESSIONID</name>
  </cookie>
 </session-config>
 

     2.2 Spring MVC JavaConfig

public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
  @Override
  public void onStartup(ServletContext servletContext) throws ServletException {
    super.onStartup(servletContext);
    servletContext.getSessionCookieConfig().setName("SESSIONID");
  }

   //省略其他配置

}

 2.3 SpringBoot 

@SpringBootApplication
@ComponentScan(basePackages = "com.test")
public class LoginApplication implements ServletContextInitializer {
    public static void main(String[] args) {
        SpringApplication.run(LoginApplication.class, args);
    }

    @Override
    public void onStartup(ServletContext servletContext)
            throws ServletException {
        servletContext.getSessionCookieConfig().setName("SESSIONID");
    }
}

  或者在application.yml 文件中配置:

server:
  port: 8081
  tomcat:
    uri-encoding: UTF-8
  session:
   cookie:
     name: SESSIONID

 

转载于:https://my.oschina.net/xuzimian/blog/3069711

chenzhi73455
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
spring-oauth2:Spring Security OAuth2 XML放置演示
05-10
spring-oauth2Spring security oauth2 xml配置Demo授权服务和资源服务分离缺失部分:authorization_code模式下,直接访问资源服务受保护资源时,无法自动跳转到授权服务的oauth/authorize
springboot2集成oauth2坑一(Possible CSRF detected - state parameter was required but no state could )
lipeng的博客
02-01 6409
刚开始用springboot1.5集成oauth2没问题,现在升级成springboot2.1踩了不少坑,下面列举下: 问题一 Possible CSRF detected - state parameter was required but no state could be found 客户端代码 @EnableOAuth2Sso @Configuration public class Ui...
CSRF(跨站请求伪造)详细说明
ysyswywl2的博客
07-09 3788
Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里
@csrf异常
消息队列
09-10 813
在表单提交时,出现以下报错: 在表单提交时没有令牌,需要在form表单里加@csrf,表示表单提交时一并带了令牌请求 &lt;form action="{{route('admin.config.update',['name'=&gt;$name])}}" method="post"&gt; &lt;!--@csrf是表单提交时可以携带令牌,会生成一个带有隐藏属性的...
SpringSecurity OAuth2 (10) 自定义: 启用 CsrfToken 保护授权服务器颁发的 AccessToken
O_o
08-15 1720
本文探讨, 在授权服务器和资源服务器分离的架构下, 如何用 csrf-token 保护授权服务器颁发的 JWT Access-Token.
使用Spring security oauth2遇到的问题
热门推荐
carry_zuo的博客
12-20 1万+
在使用spring security oauth2过程中客户端DEBUG中总是有警告信息: Could not fetch user details: class org.springframework.security.oauth2.common.exceptions.InvalidRequestException, Possible CSRF detected - state paramet
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
使用Spring Security OAuth2实现单点登录
08-25
oauth2: client: clientId: SampleClientId clientSecret: secret accessTokenUri: http://localhost:8081/auth/oauth/token userAuthorizationUri: http://localhost:8081/auth/oauth/authorize resource: ...
Spring Security OAuth过期的解决方法
09-07
Spring Security 5.x引入了对OAuth2和OpenID Connect 1.0的支持,这意味着你可以直接在框架内实现OAuth2的功能,包括资源服务器、客户端和身份验证服务器。这有助于减少混乱并提供更一致的体验。 4. **移除过时的...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用...
Could not authenticate you from Ldapmain because “Invalid credentials for xxxx“.
我的博客
06-22 6380
1
使用spring-security-oauth2作为client实现
weixin_34389926的博客
12-06 1308
序 本文主要讲一下如何使用spring security oauth2作为一个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit)(client为浏览器/前端应用) 密码模式(resource owner password credentials)(用户密码暴露给client端不安全) 客户端模...
Spring Boot + Spring Security Oauth 搭建SSO服务器和客户端教程
李剑
04-26 2470
简介 本项目分为auth-server(auth-server-demo)和auth-client(auth-clien-demo)两个部分,两个项目都采用Spring boot搭建,为了演示方便,采用内存存储用户和token,登录与授权页面都引用自带的页面,虽然样式不美观,但不影响演示效果。 auth-server-demo引用了spring-cloud-starter-oauth2依赖,他...
SpringCloudOAuth2常见异常
心灵空间
07-03 3440
Possible CSRF detected - state parameter was required but no state could be found 这个错误只在使用AuthorizationCode方式时出现, 就是客户端反复刷新带有code和state的参数的url导致的,因为code已经被使用过一次了,相当于过期了,你反复使用,自然会被认为是非法操作,所以”可能是CSRF攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值