Spring Security中启用CSRF防护(REST版)

已于 2023-03-16 14:03:32 修改
阅读量803 收藏 3
点赞数
文章标签: spring csrf Spring Security JWT redis
于 2023-03-13 16:45:06 首次发布
欢迎流通 功德无量
本文链接:https://blog.csdn.net/fxtxz2/article/details/129496488
版权

问题

之前文章《Spring Security +Spring Session Redis+JJWT》介绍了怎么使用Spring Security实现restful风格的登录api。现在,我们在这个基础上面实现csrf防护措施。

csrf原理

在调用登录的接口的时候,必须在已有的基础上面携带请求头X-CSRF-TOKEN,以验证这个请求是合法的登录请求。

Spring Security

AuthController.java

前端在调用登录接口之前,需要先调用获取token的接口。然后,再调用登录接口。

@GetMapping("/csrf")
public CsrfResponse csrf(@RequestAttribute("_csrf") CsrfToken csrf) {
    return CsrfResponse.builder().token(csrf.getToken()).build();
}

CsrfResponse.java

import lombok.AllArgsConstructor;
import lombok.Builder;
import lombok.Data;
import lombok.NoArgsConstructor;

@Builder
@Data
@NoArgsConstructor
@AllArgsConstructor
public class CsrfResponse {

    private String token;
}

SecurityConfiguration.java

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.cors().and().csrf().and()
...
                        .requestMatchers(HttpMethod.GET, "/auth/csrf").permitAll()
                       ....
                )
...
                .formLogin(withDefaults())
                .httpBasic().disable();
        return http.build();
    }

这里主要就是添加了匿名获取csrf token的接口,并启用Spring Security CSRF防护。
注意: Spring Security的csrf默认是忽略GET请求,但是不会忽略匿名POST请求,这种需求,可以使用如下配置实现:

...
http.cors().and().csrf()
                // 配置匿名post请求忽略csrf
                .ignoringRequestMatchers("/xx/register")
                ....

测试

获取csrf token接口

获取csrf token

调用登录接口登录接口

在普通登录的基础上面,多添加一个请求头X-CSRF-TOKEN。这个请求头的数据,就是之前调用获取csrf token接口中,获取到的数据。这样就登录成功了。

获取资源接口

获取资源接口
这样就成功调用了一般业务接口。

总结

REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。有点像限流中的令牌桶原理。
源码:JwtSession

参考:

亚林瓜子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2150
在上一篇文章,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
SpringSecurity OAuth2 (10) 自定义: 启用 CsrfToken 保护授权服务器颁发的 AccessToken
O_o
08-15 1624
本文探讨, 在授权服务器和资源服务器分离的架构下, 如何用 csrf-token 保护授权服务器颁发的 JWT Access-Token.
Spring安全方案—针对常见漏洞的保护(CSRF)(官方原)
深圳市多克创新科技有限公司
04-23 873
Spring Security针对常见漏洞的保护—官方原
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 1736
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
spring security CSRF防护
aabbyyz的博客
10-22 1647
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
Spring securitycsrf token的认证
On Road ...
02-14 1万+
spring security csrf token 认证
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2362
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
Spring Security 开启 CSRF 防护的流程
只有变秃 才能变强
06-04 2829
说多了都是放屁,直接看官网,这个足够,网上其它文章都是抄的官网的 https://docs.spring.io/spring-security/site/docs/4.2.0.BUILD-SNAPSHOT/reference/htmlsingle/#csrf
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
spring-security-csrf:一个示例应用程序演示了在 Web 应用程序使用 Spring Security CSRF 保护而不使用 Spring Security 的身份验证和授权功能
06-25
概述此示例应用程序演示了如何使用 Spring Security 来保护 Web 应用程序免受 CSRF 攻击,而无需使用 Spring Security 提供的身份验证和授权功能。 下载它并作为mvn clean tomcat7:run运行它。 然后使用 Web 浏览器...
laravel框架表单请求类型和CSRF防护实例分析
12-20
本文实例讲述了laravel框架表单请求类型和CSRF防护。分享给大家供大家参考,具体如下: laravel为我们提供了绑定不同http请求类型的函数。 Route::get('/test', function () {}); Route::post('/test', ...
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( SecurityJWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
springboot csrf防护 spring security
最新发布
10-31
Spring Security,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每个HTTP POST请求添加一个令牌,并将其存储在用户的会话。 当用户提交POST请求时,服务器会验证该令牌是否与用户会话存储的令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值