springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)

最新推荐文章于 2024-05-19 01:21:21 发布
最新推荐文章于 2024-05-19 01:21:21 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: web学习 springboot 文章标签: spring boot 学习 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59588838/article/details/124536614
版权

昨天遇到的一个让我本人感觉是毁灭性的bug,出现的前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码:

  @RequestMapping("query")
    public User query(String username){
        System.out.println("--------------------");
        User user = userService.queryByName(username);
        System.out.println("--------------------");
        return user;
    }

却发现人家压根就没有通过那个页面的表单访问这个映射或者说是直接被拒绝跳转网站操作。

这时候我就想到不是我代码的问题了,像这种拦截和屏蔽操作的无非就是字符编码过滤器,拦截器等具备链式过滤校对的安全性机制才能实现的了,我就想到了我为了实验添加进项目的安全框架springsecurity5框架结果我一查发现,果然!cookie跨域的问题。

然后我就查询关于cookie跨域或者是为什么cookie随着我前后端分离项目的运行会不同级别的改变?之前没有添加security框架时就不会有这个问题?原因很简单一般的浏览器不会对cookie跨域进行严格的限制,你自己写的本地端口服务你也不会设置cookie跨域的保护,但是如果是网络上大型网站的话,不设置跨域保护就会被不法分子攻击网站,窃取网站用户信息。

首先我们了解一下什么叫CSRF:见下图 

 如你所见,在没有登出webA的时候访问另一个应用webB浏览器就会带着A的cookie继续生成B的cookie这样的情况就会使得B回去访问A的时候cookie早就已经有了,能实现正常访问。这样的话如果你没有将cookie保存好点击网站某个广告,不小心让不法人员窃取你的cookie信息,他就可以利用你的用户去做一些操作等等。

怎么实现CSRF保护呢?就是不允许跨域访问,也可以不允许携带cookie访问。只要保证第一个网站的cookie信息不被第二个网站的cookie携带就可以。

SpringSecurity5帮我们实现了CSRF保护:(以下是springsecurity5对CSRF保护配置的源码)

public final class CsrfConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<CsrfConfigurer<H>, H> {
    private CsrfTokenRepository csrfTokenRepository = new LazyCsrfTokenRepository(new HttpSessionCsrfTokenRepository());
    private RequestMatcher requireCsrfProtectionMatcher;
    private List<RequestMatcher> ignoredCsrfProtectionMatchers;
    private SessionAuthenticationStrategy sessionAuthenticationStrategy;
    private final ApplicationContext context;

    public CsrfConfigurer(ApplicationContext context) {
        this.requireCsrfProtectionMatcher = CsrfFilter.DEFAULT_CSRF_MATCHER;
        this.ignoredCsrfProtectionMatchers = new ArrayList();
        this.context = context;
    }

    public CsrfConfigurer<H> csrfTokenRepository(CsrfTokenRepository csrfTokenRepository) {
        Assert.notNull(csrfTokenRepository, "csrfTokenRepository cannot be null");
        this.csrfTokenRepository = csrfTokenRepository;
        return this;
    }

    public CsrfConfigurer<H> requireCsrfProtectionMatcher(RequestMatcher requireCsrfProtectionMatcher) {
        Assert.notNull(requireCsrfProtectionMatcher, "requireCsrfProtectionMatcher cannot be null");
        this.requireCsrfProtectionMatcher = requireCsrfProtectionMatcher;
        return this;
    }

    public CsrfConfigurer<H> ignoringAntMatchers(String... antPatterns) {
        return ((CsrfConfigurer.IgnoreCsrfProtectionRegistry)(new CsrfConfigurer.IgnoreCsrfProtectionRegistry(this.context)).antMatchers(antPatterns)).and();
    }

    public CsrfConfigurer<H> ignoringRequestMatchers(RequestMatcher... requestMatchers) {
        return ((CsrfConfigurer.IgnoreCsrfProtectionRegistry)(new CsrfConfigurer.IgnoreCsrfProtectionRegistry(this.context)).requestMatchers(requestMatchers)).and();
    }

    public CsrfConfigurer<H> sessionAuthenticationStrategy(SessionAuthenticationStrategy sessionAuthenticationStrategy) {
        Assert.notNull(sessionAuthenticationStrategy, "sessionAuthenticationStrategy cannot be null");
        this.sessionAuthenticationStrategy = sessionAuthenticationStrategy;
        return this;
    }


        SessionManagementConfigurer<H> sessionConfigurer = (SessionManagementConfigurer)http.getConfigurer(SessionManagementConfigurer.class);
        if (sessionConfigurer != null) {
            sessionConfigurer.addSessionAuthenticationStrategy(this.getSessionAuthenticationStrategy());
        }

        filter = (CsrfFilter)this.postProcess(filter);
        http.addFilter(filter);
    }

    private RequestMatcher getRequireCsrfProtectionMatcher() {
        return (RequestMatcher)(this.ignoredCsrfProtectionMatchers.isEmpty() ? this.requireCsrfProtectionMatcher : new AndRequestMatcher(new RequestMatcher[]{this.requireCsrfProtectionMatcher, new NegatedRequestMatcher(new OrRequestMatcher(this.ignoredCsrfProtectionMatchers))}));
    }

我们可以发现它的保护其实更像是获取一些信息进行校验,目前我没打算把这源码都整明白,主要是理解这个跨域保护的机制就OK。

由于这个是自带的保护配置,我们可以通过添加一个标注有注解@Configuration且继承WebSecurityConfigurerAdapter类的一个配置类来改变这个保护机制的保护域。

配置类security_config:

Configuration
/*避免出现403报错,security具备的CSRF跨站访问保护比较强大,配置关闭*/
public class security_config extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        /*关闭csrf保护*/
        /*授权请求,任意请求,全部授权允许,登出全部允许,跨站访问全部允许*/
        http.authorizeRequests().anyRequest().permitAll().and().logout()
                .permitAll().and().csrf().disable();
    }
}

这样一个允许跨站登出的权限授权就可以了。

ForestSpringH
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security之配置体系
Evan_L的博客
03-24 997
Spring Security的配置体系关系着我们能否用好Spring Security,也关系着我们能否按照自己的需要配置Security。同时,他也关系着Spring Security是如何构建安全框架的。
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 846
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
spring boot项目怎么预防CSRF攻击
keyboard专栏
04-24 741
Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施,但根据应用的特定需求,可能需要进行一些配置调整或扩展。
Spring Boot | Spring BootCSRF 防护功能“ 、Security “管理前端页面“
最新发布
m0_70720417的博客
05-19 1177
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
Spring Boot 解决跨域Cores问题
岚殿的代码笔记
08-09 1283
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implemen.
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1789
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
【第八篇】SpringSecurity的核心过滤器-CsrfFilter
yqqの博客
03-18 605
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2232
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
SpringSecurity5-教程4-Cookie单点登录
zhouwenjun0820的博客
03-23 504
Cookie单点登录
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
Spring BootSpring框架的一个扩展,它简化了Spring应用程序的初始设置和配置。通过自动配置和“起步依赖”(Starter POMs),Spring Boot可以快速启动并运行Web应用,无需过多关注基础架构的搭建。 2. **Spring ...
跨域点单登录源码SSO_cross_domain
07-24
- **Spring Security** 或 **Apache Shiro**:常用的Java安全框架,提供了实现SSO的工具和接口。 深入研究这个源码,你可以了解到如何在实际项目中实施跨域点单登录,包括配置IDP、SP、处理重定向、验证令牌等步骤...
renren-security轻量级权限管理系统3.2最新完整版的开发文档
12-05
它基于Spring Boot和Shiro框架,提供了包括登录认证、权限授权、记住我、验证码、会话管理等一系列功能。其中,登录认证支持多种方式,如用户名/密码、手机号/验证码等;权限授权则通过RBAC(Role-Based Access ...
SpringBoot-SSO.rar
11-25
Spring Boot框架下,我们可以利用Spring SecuritySpring Session以及Redis等技术来实现SSO功能。下面将详细介绍这个过程中的关键知识点。 1. **Spring Security**: Spring SecuritySpring生态中的安全组件...
完全跨域的单点登录 完全跨域的单点登录
09-13
在Java环境下,常见的SSO框架Spring Security和OpenAM。Spring Security提供了一套灵活且强大的安全控制机制,可以方便地实现SSO。OpenAM则是一个开源的身份和访问管理解决方案,包含完整的SSO功能。 3. 跨域...
Spring Security介绍
W211953332的博客
08-13 445
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
高级版的 jvisualvm :Spring Boot Admin 监控 Spring Boot 微服务项目
m0_73311735的博客
08-29 610
类,并在。
处理Spring Security在配置好csrf后接口报401问题
永远sayYES的博客
09-22 2062
处理Spring Security在配置好csrf后接口报401问题 现象:接口报401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
05 SpringSecurity-实现自动登录
01-19 2963
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security中是通过加密几个关键信息实现的: hashInfo = md5Hex(us
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 907
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
springboot csrf防护 spring security
10-31
Spring Boot是一个开源的框架,可以简化Java应用程序的开发。CSRF(Cross-Site Request Forgery)是一种常见的安全漏洞,攻击者利用用户在另一个网站上的身份验证信息来执行恶意操作。Spring SecuritySpring Boot的一个扩展模块,用于处理应用程序的安全性问题。 Spring Security提供了一种用于CSRF防护的机制,可以保护Web应用免受此类攻击。Spring Security通过生成和验证令牌来完成CSRF防护。 在Spring Security中,可以使用`<csrf/>`标签来启用CSRF保护。此标签将自动在每个HTTP POST请求中添加一个令牌,并将其存储在用户的会话中。 当用户提交POST请求时,服务器会验证该令牌是否与用户会话中存储的令牌匹配。如果令牌匹配,则请求被视为合法请求,否则将被拒绝。 Spring Security还提供了可以在HTML表单中使用的特殊标记`_csrf`,用于向服务器发送令牌。通过在表单中包含此标记,可以确保提交的表单是合法的。 CSRF防护是Spring Security的默认行为,因此您无需额外配置即可使用此功能。但是,您可以根据需要进行自定义配置,如自定义令牌生成和验证逻辑。 综上所述,Spring BootSpring Security可以提供强大的CSRF防护功能,帮助保护Web应用程序免受恶意攻击。使用Spring BootSpring Security可以简化开发过程,并使应用程序更加安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ForestSpringH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值