springboot2集成oauth2坑一(Possible CSRF detected - state parameter was required but no state could )

最新推荐文章于 2023-05-03 21:19:02 发布
最新推荐文章于 2023-05-03 21:19:02 发布
阅读量6.5k 收藏 1
点赞数
分类专栏: springcloud springcloud技术分享 文章标签: springboot2 oauth2 csrf detected
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lp19861126/article/details/86743443
版权

码云地址:https://gitee.com/lpxs/lp-springcloud.git
有问题可以多沟通:136358344@qq.com。

刚开始用springboot1.5集成oauth2没问题,现在升级成springboot2.1踩了不少坑,下面列举下:

问题一
Possible CSRF detected - state parameter was required but no state could be found

客户端代码

@EnableOAuth2Sso
@Configuration
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
                .authorizeRequests()
                .antMatchers("/", "/login**")
                .permitAll()
                .anyRequest()
                .authenticated();
    }

}

在获取到code后一直停留在登陆页面上

最低0.47元/天 解锁文章
SpringBoot 基于 OAuth2身份认证流程详解
专注基础架构领域
12-23 1万+
了解OAUTH2认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统处理, 比如统异常和统接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
Spring Boot + Spring Security Oauth 搭建SSO服务器和客户端教程
李剑
04-26 2648
简介 本项目分为auth-server(auth-server-demo)和auth-client(auth-clien-demo)两个部分,两个项目都采用Spring boot搭建,为了演示方便,采用内存存储用户和token,登录与授权页面都引用自带的页面,虽然样式不美观,但不影响演示效果。 auth-server-demo引用了spring-cloud-starter-oauth2依赖,他...
Spring Security Oauth2 : Possible CSRF detected
chenzhi73455的专栏
07-04 976
Spring Security Oauth2 : Possible CSRF detected 使用Spring Security 作为 Oauth2 授权服务器时,在授权服务器登录授权后,重定向到客户端服务器时,出现了401 Unauthorized错误。明明已经授权了,为何还会未授权了...
CSRF(跨站请求伪造)详细说明
ysyswywl2的博客
07-09 3858
Cross-Site Request Forgery(CSRF),中文般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里
token和cookie的区别
热门推荐
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存个session,同时发送给客户端个cookie,这个cookie里面有唯标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
@csrf异常
消息队列
09-10 862
在表单提交时,出现以下报错: 在表单提交时没有令牌,需要在form表单里加@csrf,表示表单提交时并带了令牌请求 <form action="{{route('admin.config.update',['name'=>$name])}}" method="post"> <!--@csrf是表单提交时可以携带令牌,会生成个带有隐藏属性的...
SpringCloudOAuth2常见异常
心灵空间
07-03 3558
Possible CSRF detected - state parameter was required but no state could be found 这个错误只在使用AuthorizationCode方式时出现, 就是客户端反复刷新带有code和state的参数的url导致的,因为code已经被使用过次了,相当于过期了,你反复使用,自然会被认为是非法操作,所以”可能是CSRF攻击...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
最新发布
m0_64469199的博客
05-03 2万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
使用spring-security-oauth2作为client实现
weixin_34389926的博客
12-06 1418
序 本文主要讲下如何使用spring security oauth2作为个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit)(client为浏览器/前端应用) 密码模式(resource owner password credentials)(用户密码暴露给client端不安全) 客户端模...
开发笔记 | 认证授权+Spring Security+OAuth2快速学习笔记
qq_37630282的博客
07-18 2603
认证授权+Spring Security+OAuth2学习笔记
单点登录与第三方登录 + CSRF-XSS-DNS-DDOS-SQL攻击
Java后端技术栈
05-27 2万+
多系统实现单点登录方案:SSO 单点登录 、什么是单点登录SSO(Single Sign-On)   SSO是种统认证和授权机制,指访问同服务器不同应用中的受保护资源的同用户,只需要登录次,即通过个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录次就可以访问所有相互信任的应用系统,而不用重复登录。 三、单点登录的技术实现机制   如下图所示:    认证后返回给应用系统而不是用户 注(图片所
java使用jsp servlet来防止csrf 攻击的实现方法(二)
xyr05288的专栏
02-17 2861
解决思路: 、编写filter拦截可能会产生CSRF漏洞的filterimport java.io.IOException; import java.util.List;import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.ser
2state
MoonNight608的博客
03-01 334
目录介绍单状态树在Vue组件中获取Vuex状态 介绍 本文是学习vuex时做的笔记,所有笔记内容请看 vuex学习笔记 单状态树 Vuex使用单状态树,用个对象就包含了全部的应用层级状态。它便作为”唯数据源“ 而存在。这也意味着,每个应用将仅仅包好个store实例。单状态树让我们能够直接定位任意特定的状态片段,在调试的过程中也能轻易地取得整个当前应用状态的快照。 可以根据下述例子理解...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值