【Spring Security】Postman调用时无授权与CSRF验证

已于 2023-12-17 21:49:23 修改
阅读量1.7k 收藏 4
点赞数 1
分类专栏: Spring 文章标签: postman spring csrf
于 2022-05-16 11:24:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fisherish/article/details/124795919
版权

前言

Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案。Spring Security 主要特性:

  1. 认证(Authentication):
    认证是验证用户身份的过程。Spring Security 提供了多种认证方式,如用户名/密码、HTTP 基本认证、OAuth、JWT 等。
    用户提交的凭证(如用户名和密码)会被转换成 Authentication 对象,然后通过 AuthenticationManager 进行处理。
  2. 授权(Authorization):
    授权是确定已认证用户可以访问哪些资源或执行哪些操作的过程。Spring Security 支持基于角色的访问控制(RBAC)和访问控制列表(ACL)等授权模型。
    可以通过配置 WebSecurity 或使用注解(如 @PreAuthorize、@PostAuthorize 等)来定义访问规则。
  3. 安全对象封装:
    Spring Security 使用 SecurityContextHolder 类来存储当前的 Authentication 信息和相关的安全上下文。
  4. 过滤器链(Filter Chain):
    Spring Security 实现了一个灵活的过滤器链机制,用于处理所有的 HTTP 请求。
    过滤器链中的每个过滤器负责处理特定的安全任务,如身份验证、会话管理、访问决策等。
  5. 异常处理:
    Spring Security 提供了 ExceptionTranslationFilter,用于捕获并处理与安全相关的异常,如 AccessDeniedException、AuthenticationException 等。
  6. 登录和登出功能:
    Spring Security 提供了开箱即用的登录和登出功能,包括表单登录、HTTP 基本认证登录、 remember-me 功能等。
  7. 会话管理和状态管理:
    Spring Security 支持对用户会话的管理,包括会话固定、会话超时、并发会话控制等功能。
    同时也支持无状态的 RESTful 应用程序的安全性,例如通过 JWT 进行状态管理。
  8. 加密和密码存储:
    Spring Security 提供了对密码的加密和存储支持,包括 BCrypt、SHA-256、PBKDF2 等多种加密算法。
    Spring Security 自动提供了 CSRF 防护功能,可以通过配置启用或禁用。
  9. 集成其他安全技术:
    Spring Security 可以轻松地与其他安全技术和框架集成,如 LDAP、JAAS、OAuth、SAML 等。
  10. 自定义扩展:
    Spring Security 设计得非常灵活,允许开发者根据自己的需求进行深度定制和扩展。

问题

配置了Spring Security时,Postman调用相关接口,报401显示无授权,返回体要么是登录页:

在这里插入图片描述

要么只返回一个

1

实现

相关依赖


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

实现

Security默认启用了Basic Auth授权,应该在Postman的Authorization页签中设置Basic Auth授权基本信息,设置用户名和密码:
在这里插入图片描述

由于Postman无法用Authorization页签中填上的Basic Auth相关信息生成 CSRF Token,因此需要将CSRF 验证关掉:

设定配置如下:
WebSecurityConfig.java

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/swagger-ui.html").permitAll()
            .antMatchers("/webjars/**").permitAll()
            .antMatchers("/swagger-resources/**").permitAll()
            .antMatchers("/v2/*").permitAll()
            .antMatchers("/csrf").permitAll()
            .antMatchers("/").permitAll()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .csrf().disable()
            .formLogin()
        ;
    }
}

Spring Security配置类:

@EnableWebSecurity :启用Spring Security的Web安全功能。这个注解会启动一个默认的安全配置,并允许通过扩展WebSecurityConfigurerAdapter来自定义安全配置。
继承 WebSecurityConfigurerAdapter 类:抽象类提供了默认的安全配置。通过继承这个类并覆盖其方法,可以自定义安全配置。
configure(HttpSecurity http) 方法:用于配置HTTP安全规则:
.authorizeRequests():开始配置授权规则。
.antMatchers("/swagger-ui.html").permitAll():允许所有用户访问 /swagger-ui.html 路径。
.antMatchers("/webjars/**").permitAll():允许所有用户访问 /webjars/ 开头的路径。
.antMatchers("/swagger-resources/**").permitAll().antMatchers("/v2/*").permitAll():允许所有用户访问 Swagger 相关资源。
.antMatchers("/csrf").permitAll():允许所有用户访问 CSRF 相关路径。
.antMatchers("/").permitAll() .antMatchers("/login").permitAll():允许所有用户访问主页和登录页面。
.anyRequest().authenticated():对于其他所有请求,要求用户必须经过身份验证才能访问。
.and():链式调用,用于连接多个配置项。
.csrf().disable():禁用跨站请求伪造(CSRF)防护。
.formLogin():启用基于表单的身份验证机制。这将自动配置一个登录表单和处理登录请求的逻辑。

配置了一个基本的Spring Security安全框架,允许所有用户访问Swagger文档、主页、登录页面和其他一些特定路径,而对于其他所有请求,则要求用户必须经过身份验证。同时,禁用了CSRF防护,并启用了基于表单的身份验证机制。

运行

重新启动服务

调用登录接口尝试登录
在这里插入图片描述
调用自己的接口

在这里插入图片描述

成功调用

参考

https://www.cnblogs.com/xuruiming/p/13296312.html

锥栗
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【Django】关于postman设置 csrf token
10相濡以沫
04-25 6040
文章目录 目前开发django,有csrf防护的存在,在使用postman测试的候,登陆会出现403 forbidden. 需要在headers里面加入一个 “X-CSRFToken” 需要加入token 使用postman自动获取cookie中的csrftoken,并将该值自动设置到后续请求的header中。 为了自动化地设置这个token,需要使用postman的“Tests”功能。Post...
Postman调用wsdl配置说明
01-18
本文将详细阐述如何在Postman中配置并调用WSDL接口。 首先,我们需要理解WSDL。WSDL是一种XML格式的规范,用于定义网络服务,特别是Web服务的接口。它包含了服务的位置、操作以及如何调用这些操作的信息。在Postman...
Postman CSRF 配置
优秀的亮亮
06-25 3013
很多候,由于后端做了CSRF安全配置,测试接口,发送一些请求可能会比较麻烦,也需要对CSRF做相应的配置。 Postman 在每个接口发送请求之前会执行里的脚本,在发送请求之后会执行里的脚本。我们需要在请求发送之后,获取中的值,然后将这个值保存在集合变量域内。在下一次发送请求前,从集合变量域内取出的值,然后将这个值添加到请求头里。以此实现模拟前端的CSRF配置。之所以选择集合变量域,是因为经常将同一个项目站点的接口放在同一个集合下,这样可以保证同一个项目复用同一个c......
POSTMAN解决CSRF问题小技巧
09-01 1773
Postman使用小技巧
Postman免登录版,离线使用
最新发布
听。雨
06-03 2794
版本是7.36.1的,比如服务器上没有网络,依旧可以使用。
django值jwt认证提示身份认证信息提供
朽木自雕的博客
03-09 4911
django值jwt认证提示身份认证信息提供 具体提示如下: drf {“detail”:“身份认证信息提供。”} 原因(一般第二种的可能性较大) 第一种:在请求的Headers中添加token 第二种:添加token,要在token的最前面加上"JWT "(注意 JWT后面有个空格),或者在django生成token的候加上前缀(二选一) settings文件 # jwt设置 JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedel
如何使用postman测试springsecurity的代码
Geek_Dream
05-24 4967
使用postman测试SpringSecurity的其它接口获取Cookie拿到我们的cookie之后如何在postman中使用? 获取Cookie 我们需要首先启动我们的程序,然后我们使用浏览器[最好是google]打开我们的springsecurity输入账号密码进行登录,我们打开F12查看我们的cookie 这里选择我们的Network然后点击登录,之后我们需要选择前面一段,找到我们访问的地址 不用在乎我这个名字,我这里访问的就是退出链接,这里只是你的controller接口的路径而已,点击打开我
Postman测试 - SpringSecurity用户名和密码认证访问后台请求
你今天真好看呀
08-11 4485
Postman测试SpringSecurity用户名和密码认证访问后台请求。
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
- 对于需要保护的API,Spring Security会自动检查请求头中的JWT Token,如果验证失败,将返回401授权的响应。 7. **刷新Token**: - 可选地,可以添加刷新Token的功能,允许用户在Token即将过期获取新的...
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
主要介绍了Django中ajax发送post请求 报403错误CSRF验证失败解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
postman调用webservice示例
11-19
附件为postman调用webservice的示例,可直接导入postman中进行验证。完整过程可以参考 https://blog.csdn.net/leandzgc/article/details/109813000 这个地址,希望可以帮到大家。
Spring Boot 通过Restful API,在PostMan 中返回数据
m0_47073109的博客
08-11 485
Spring Boot 通过Restful API,在PostMan 中返回数据 资源组 新增 POST/resource_group/ad 请求体: 格式:from-data 参数:groupName=example 响应: { "code": 200, "msg": "保存成功", "data": null } 删除 DELETE /resource_group/delete?id=1 参数:id—资源组主键 响应: { "code": 0, "data
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6744
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
postman hender头中无法获取Authorization的值
qq_37654825的博客
01-08 635
.htaccess文件中 <IfModule mod_headers.c> Header add Access-Control-Allow-Origin: * # Handle Authorization Header RewriteCond %{HTTP:Authorization} . RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] </IfModule> ...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
emprere的博客
10-05 404
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地...
【Java后端】使用了Shiro、Spring Secutity安全框架之后如何使用PostMan、Apifox进行接口测试
炼丹笔记
10-16 979
解决绕过安全框架进行接口测试
使用PostMan解决访问web无权限的问题
qq_45495315的博客
11-16 689
PostMan中,设置访问请求路径的候,可能因为服务器对http请求进行检测token,此需要先模拟对程序进行登录,将登录信息放在请求体中进行请求,获得其中的token值,这里一并返回的还有token的有效期。将token值封装在http请求的请求头中访问,则可以访问到对应的路径。如果去掉请求头,那么访问也将失败。
postman设置token、authorization认证信息传参
热门推荐
morningsun19的博客
11-30 6万+
问题描述: 1.登录的候,服务器返回token,这是身份认证,相当于门票,访问其他的接口业务,每次都需要带上这个token,解决方法是,把服务器返回的token设置在postman的环境变量(Environment) 参考: 1.先设置环境变量 点击 postman的系统设置,弹出一个框manage environment,然后点add 2.postman发送登录请求,获取系统...
postman怎么测试spring security loginProcessingUrl里面接口
04-25
实际上,您可以使用Postman发送一个HTTP POST请求到指定的Spring Security登陆处理URL,同使用带有预定义用户名和密码的正文负载作为请求体。登录成功,您将获得响应标头和该会话所需的预定义令牌。您可以使用此令牌进行后续请求。以下是一些步骤: 1. 打开 Postman,选中POST请求。 2. 输入登录处理URL,例如: http://localhost:8080/login。 3. 选择“Body”选项卡,然后选择“raw”,并将格式更改为“JSON”。 4. 输入具有预定义用户名和密码的请求负载,例如: { "username": "your_username", "password": "your_password" } 5. 单击“Send”按钮,您应该会收到响应并且验证成功。 6. 您可以使用响应头中返回的令牌进行后续事件的请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

锥栗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值