最近在使用springboot整合springSecurity安全框架,使用postman调试项目接口。
项目是新起的,调试的第一个接口是上传静态资源的,第一次用postman上传附件,结果返回结果报404。
可是这个接口明明是有的
我就开始怀疑自己是不是什么地方有空格,检查一遍都能匹配的上,于是我尝试用GET请求方式调用一下接口
结果报405,GET方式不支持,说明url匹配是正确的,可是为什么POST就404呢,浪费我一上午的时间,我都开始怀疑是不是spring容器出现了什么问题,就是没有怀疑springSecurity,然后我慢慢一步步的排除问题,知道我把springSecurity的相关配置以及pmx去掉之后发现上传接口调通了。
查看了springSecurity的文档以及各种论坛,发现springSecrity默认开启csrf保护。
解决方案:
方式一.服务后台配置
1.直接禁用csrf保护。在configure(HttpSecurity http)方法中添加 http.csrf().disable();
2.重写csrf保护策略。
在configure(HttpSecurity http)方法中添加 http.csrf().requireCsrfProtectionMatcher(requestMatcher());
新增处理类
package com.levenx.config.security;
import org.springframework.security.web.util.matcher.RequestMatcher;
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
/**
* Created by 乐闻 on 2018/9/11.
*/
public class CsrfSecurityRequestMatcher implements RequestMatcher {
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
@Override
public boolean matches(HttpServletRequest request) {
List<String> unExecludeUrls = new ArrayList<>();
//unExecludeUrls.add("/api/test");//(不允许post请求的url路径)此处根据自己的需求做相应的逻辑处理
if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
String servletPath = request.getServletPath();
request.getParameter("");
for (String url : unExecludeUrls) {
if (servletPath.contains(url)) {
return true;
}
}
}
return allowedMethods.matcher(request.getMethod()).matches();
}
}
总结:
springSecurity需要系统的学习一下,用一点学一点容易走进死胡同。