spring-security 前后分离如何获取csrf-token

已于 2022-02-16 18:10:36 修改
阅读量4k 收藏
点赞数 2
分类专栏: springboot 文章标签: csrf springboot
于 2022-02-16 18:05:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n_rts/article/details/122968829
版权

springboot整合security,默认情况下csrf是开启状态,这时候发起post请求可能会遭遇4xx

如果不在乎csrf攻击,简单处理

http.csrf().disable();

如果不关闭csrf,就需要前端获取到csrf-token,在发起post请求时传递给后端

默认在登陆页会返回_csrf,post请求需要在header添加X-CSRF-TOKEN

参看:org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository

对于服务器页面可以采用参数注入的方式获取token,这样

<input type='hidden' name='${_csrf.parameterName}' value='${_csrf.token}' />

或者这样

对于前后端分离的系统,可以将token放在cookie中(XSRF-TOKEN),在发起post请求时,通过js从cookie中获取到token,然后在header中添加属性X-XSRF-TOKEN

参看:org.springframework.security.web.csrf.CookieCsrfTokenRepository

http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

n_rts
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring securitycsrf token的认证
On Road ...
02-14 1万+
spring security csrf token 认证
Security+前后端分离CSRF使用
互联网编程爱好者
11-09 1262
Security+前后端分离CSRF使用 Security默认是开启CSRF保护的,与此类似的是CORS。具体我不是很了解,只知道CORS是管理跨域资源共享使用,CSRF是保护网络攻击的。 开发环境中经常通过API post或者其他请求访问调试,这样子也就说明,可以通过http请求随意访问。因此开启CSRF保护,表示不可通过API post调试工具调试。 这样又出现了另外一个问题,前后端分离的情况下,怎么能通过CSRF调用呢? Security是由多个过滤器组成,CSRF实现也不例外,它是由CsrfFi
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
在前端JavaScript中动态获取CSRF令牌的几种方法
最新发布
qq_42214739的博客
05-08 453
通过以上任一方法,您可以在前端JavaScript中动态获取并使用CSRF令牌,以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面中(通常是隐藏的输入字段),您可以直接通过DOM API获取它的值。确保在发送AJAX请求时携带CSRF令牌,无论是在请求头中还是在请求体中,这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件,您可以查看您使用的框架或库的文档。在使用CSRF令牌时,避免在不安全的上下文中暴露它,如公共计算机或共享网络。
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1492
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
springsecurity 获取token流程分析
lucktomcat的博客
07-01 3928
springsecurity password模式通过端点获取token主要源码段
基于token的springsecurity前后端分离实现!
weixin_42375707的博客
01-27 2008
本文是在https://blog.csdn.net/weixin_42375707/article/details/110678638此文的基础上进一步改进的, 没有接触过springsecurity的可以先看看https://blog.csdn.net/weixin_42375707/article/details/110678638,两篇文章都是每一步都有详细步骤! 1、前言部分 1.1 序言 我的上一篇博客https://blog.csdn.net/weixin_42375707/art..
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5222
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9419
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
spring-security-csrf令牌拦截器一... #安装### Via Bower $ bower install spring-security-csrf-token-interceptor###通过NPM $ npm install spring-security-csrf-token-interceptor#Usage将其作为对您的应用程序
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
介绍 该项目通过演示了 CORS 问题。
spring-security-ng:演示 Spring Security 中缺少“X-CSRF-TOKEN”的问题的示例
07-07
介绍该项目用作解决与 Spring Security 和 Angular 相关的 HTTP 标头中缺少“X-CSRF-TOKEN”的问题的示例。 该示例使用 。 问题是 HEAD 不包含“X-CSRF-TOKEN”。
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证和匹配。CsrfFilter 的主要作用是保护 Web ...
spring-security中的csrf防御机制
IT_LOSER的专栏
10-19 1608
目录(?)[+] 什么是csrfcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,
【Spring Security系列】跨域请求伪造的防护
qq_28248897的博客
07-16 569
CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie迚行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 1.CSRF的攻击过程 为了试图说明CSRF的攻击过程,现在思考下面这个场景。 假如有一个博客网站,为了激励用户写出高质量的博文,设定了一个文章被点赞就能奖励现金的 机制,于是有了一个可用于点赞的API,只需传入文章id即可: http://com.example.co
接口测试提取csrf_token和session
weixin_30918415的博客
06-20 1449
在接口测试过程中,有时在登录接口或其他一些接口会有csrf_token请求参数的校验,但是获取可能不是那么简单, 本人在postman和jmeter中尝试找到了响应的方法,特在此进行分享,请见者多多交流指教! 一、Jmerter中获取csrf_token和session 1、Jmeter中如果要获取response headers的session,也可以通过正则提取器。 ...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2703
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
Python如何获取csrf_token
weixin_41548578的博客
11-27 4426
前言 突然接到一个任务,将Jenkins与我们的自动化测试平台集成进来,自动化平台时基于python+django的。这就需要写一个python脚本去调用平台的runsuite接口,由Jenkins去触发。 通过Charles抓取到相应的接口后执行起来一直报403,调查后发现是由于Django平台设置的csrf_token一直在变化. 解决办法 用postman运行接口时,可以在postman的T...
websocket配合spring-security使用token认证
05-21
可以通过在Spring Security中配置一个Token认证过滤器来实现基于WebSocket的Token认证。具体步骤如下: 1. 创建一个TokenAuthenticationFilter类,继承自OncePerRequestFilter并实现doFilterInternal方法。该类负责检查请求中是否包含有效的Token,并进行相应的认证处理。 ```java public class TokenAuthenticationFilter extends OncePerRequestFilter { private final TokenProvider tokenProvider; public TokenAuthenticationFilter(TokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = getTokenFromRequest(request); if (StringUtils.hasText(token) && tokenProvider.validateToken(token)) { Authentication authentication = tokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } private String getTokenFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 2. 创建一个TokenProvider类,用于生成Token和验证Token的有效性,并根据Token获取用户信息。 ```java @Component public class TokenProvider { private static final String SECRET_KEY = "my-secret-key"; private static final long EXPIRATION_TIME = 86400000; // 1 day public String generateToken(Authentication authentication) { UserPrincipal principal = (UserPrincipal) authentication.getPrincipal(); Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); return Jwts.builder() .setSubject(Long.toString(principal.getId())) .setIssuedAt(new Date()) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } public Authentication getAuthentication(String token) { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); UserPrincipal principal = new UserPrincipal(userId); return new UsernamePasswordAuthenticationToken(principal, "", principal.getAuthorities()); } } ``` 3. 在配置类中注册TokenAuthenticationFilter和TokenProvider,并将TokenAuthenticationFilter添加到Spring Security的过滤器链中。 ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Autowired private TokenProvider tokenProvider; @Override public void configureMessageBroker(MessageBrokerRegistry config) { config.enableSimpleBroker("/topic"); config.setApplicationDestinationPrefixes("/app"); } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/ws").setAllowedOriginPatterns("*").withSockJS(); } @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new ChannelInterceptorAdapter() { @Override public Message<?> preSend(Message<?> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String token = accessor.getFirstNativeHeader("Authorization"); if (StringUtils.hasText(token) && token.startsWith("Bearer ")) { token = token.substring(7); TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); SecurityContextHolder.getContext().setAuthentication(filter.getAuthentication(token)); } } return message; } }); } @Override public void configureClientOutboundChannel(ChannelRegistration registration) { } @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) { } @Override public void addReturnValueHandlers(List<HandlerMethodReturnValueHandler> returnValueHandlers) { } @Override public boolean configureMessageConverters(List<MessageConverter> messageConverters) { return true; } @Override public void configureWebSocketTransport(WebSocketTransportRegistration registry) { } @Bean public TokenAuthenticationFilter tokenAuthenticationFilter() throws Exception { TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); filter.setAuthenticationManager(authenticationManager()); return filter; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override @Bean public UserDetailsService userDetailsService() { return new UserDetailsServiceImpl(); } } ``` 在上述代码中,我们通过重写configureClientInboundChannel方法,在连接到WebSocket时获取请求中的Token,并使用TokenAuthenticationFilter进行认证。注意,我们需要将TokenAuthenticationFilter添加到Spring Security的过滤器链中,以便它能够在WebSocket连接期间对请求进行拦截。 最后,我们需要在客户端的连接请求中添加Authorization头部,以便在服务端进行Token认证。例如: ```javascript stompClient.connect({}, function(frame) { console.log('Connected: ' + frame); stompClient.subscribe('/topic/greetings', function(greeting) { showGreeting(JSON.parse(greeting.body).content); }); }, function(error) { console.log('Error: ' + error); }, {"Authorization": "Bearer " + token}); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

n_rts

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值