Security+前后端分离CSRF使用

最新推荐文章于 2023-11-22 21:50:12 发布
最新推荐文章于 2023-11-22 21:50:12 发布
阅读量1.3k 收藏
点赞数
文章标签: csrf 前后端分离 csrf验证 security csrf验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30385099/article/details/121223710
版权

Security+前后端分离CSRF使用

Security默认是开启CSRF保护的,与此类似的是CORS。具体我不是很了解,只知道CORS是管理跨域资源共享使用,CSRF是保护网络攻击的。
开发环境中经常通过API post或者其他请求访问调试,这样子也就说明,可以通过http请求随意访问。因此开启CSRF保护,表示不可通过API post调试工具调试。
这样又出现了另外一个问题,前后端分离的情况下,怎么能通过CSRF调用呢?

Security是由多个过滤器组成,CSRF实现也不例外,它是由CsrfFilter这个过滤器类实现的,CsrfFilter是对保密性的请求拦截,对于(GET|HEAD|TRACE|OPTIONS)是不拦截的。tokenRepository对象是保管toekn值的
源码的处理如下图:
在这里插入图片描述
这里做了六步处理:

  1. 获取本地存储的csrfTken
  2. 验证是否第一个CSRF校验请求,是则创建一个csrfTken保存起来,不是下一步
  3. 在请求request中加入csrfTken属性值
  4. 如果是GET|HEAD|TRACE|OPTIONS请求,通过
  5. 获取request中携带的csrfToken值,名为actualToken
  6. 比对actualToken和csrfTken是否相同,相同通过,不同报错

因此解决办法的思路重点在request。

  1. 首先肯定得过滤一个不需要csrfToken的请求吧
// security配置文件,其余配置不介绍
   /**
     * 拦截请求后的权限设置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
              // 网络防护忽略请求
                .csrf().ignoringAntMatchers("/user/login")
    }
  1. 这个登录请求成功后,csrfToken会保存在request中
// 在登录成功处理器中保存这个token
/**
 * 获取CSRF密钥
 *   "csrf": {
 *       "headerName": "X-CSRF-TOKEN",  必须是这个作为key
 *       "parameterName": "_csrf", 这个key值目前不清楚为什么获取不到值
 *       "token": ""
 *   },
 *   向前端发送密钥,每次请求写在头信息中,
 *   例如 X-CSRF-TOKEN: 'token',即可保证正常访问
 */
CsrfToken csrfToken = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
  1. 然后将这个值传递到前端,前端保存,在每次请求头中添加这个值即可验证成功
    this.axios.post(`${API_HOST}/login`, obj, {
        headers: {
            'X-CSRF-TOKEN': token
        }
    }).then(function(response) {
        const data = response.data;
    }, function(response) {});
£漫步 云端彡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1908
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3619
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
前后端分离 使用spring securitycsrf
qq_44989936的博客
09-01 1624
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
Spring Security csrf使用
magicproblem的博客
01-15 507
1、在WebSecurityConfigurerAdapter配置类中不要配置(默认csrf是开启状态) //.and().csrf().disable(); /* 关闭csrf防护 */ 2、在登录页面加上一个隐藏域用于记录csrftoken(用来thymeleaf模板引擎) <input type="hidden" th:if="${_csrf}!=null" th:value="${_csrf.token}" name="_csrf"> ...
Security实现前后端分离
我的技术博客
12-09 413
​ 上一篇和上上一篇我大致介绍了一下security基础使用和oauth2的一些流程,这里在深入了解一些相关的配置项。​ 首先我们在梳理一下相关概念,首先基本的security是负责用户认证这这一环节,总而言之就是用户使用用户名密码登录后可以访问后端接口;然后引入OAuth2相关依赖之后,就有了授权服务器,客户端,资源服务器这三个概念,而且最新的官方依赖也是按照这三个概念提供统一的依赖引入,而之前的security基本认证就属于授权服务器的一个环节。问题1、首先security基本的认证方式中用户名密码
springboot-security 前后端分离开发
09-05
本文将详细介绍如何利用 `SpringBoot` 集成 `SpringSecurity` 实现基于JWT(Json Web Token)的认证机制,以适应前后端分离的开发需求。 **一、SpringBoot简介** SpringBoot 是 Spring 框架的一个子项目,旨在简化 ...
Springboot前后端分离,JWT+Security+Redis实现登录拦
最新发布
02-29
在现代Web应用开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Spring Boot作为Java领域的主流框架,提供了便捷的方式来构建RESTful API,非常适合前后端分离的项目。本主题将深入探讨...
Security前后端分离项目中的综合应用.zip
12-16
"Security前后端分离项目中的综合应用"这个主题涵盖了一系列关于如何在这样的环境中确保数据安全、用户隐私以及系统整体安全的知识点。 1. **身份验证(Authentication)与授权(Authorization)**:在前后端分离...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
SpringBoot前后端分离实战项目源码.zip
11-04
在本项目中,"SpringBoot前后端分离实战项目源码.zip" 提供了一个全面的教程,旨在帮助初学者和对SpringBoot感兴趣的开发者更好地理解和实践前后端分离的开发模式。这个项目利用了SpringBoot的强大功能,结合现代Web...
完整教学!从0到1开发,手把手教你学会开发一个springsecurity+jwt+vue的前后端分离项目.zip
10-21
在本项目中,你将学习如何从零开始构建一个基于Spring Security、JWT(JSON Web Tokens)和Vue.js的前后端分离应用。这是一个完整的教学过程,旨在帮助开发者掌握现代Web开发的关键技术栈。以下是对每个部分的详细...
基于NodeJS的前后端分离的思考与实践(四)安全问题解决方案
10-25
总结来说,前后端分离模式下的安全防护需要开发者具备全面的安全意识,对用户输入进行严格的控制和处理,使用合适的框架特性或第三方库来增强安全性。同时,定期的安全审计和更新安全策略也是保持应用安全的必要步骤...
spring Security Json 数据库登录验证
01-21
前后端分离的架构中,Spring Security能够帮助我们处理JSON Web Token(JWT)认证,确保用户数据安全传输并控制访问权限。在这个主题中,我们将深入探讨如何在Spring Boot应用中使用Spring Security进行JSON数据库...
SpringSecurity前后端分离授权
风间琉璃の博客
06-07 724
在SpringSecurity中,默认使用FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从获取其中的,然后获取其中的权限信息。判断当前用户是否包含访问资源的权限。因此需要将权限信息存入,然后对资源设置相应的访问权限。开启配置:类中添加如下注解: 限权访问:判断当前用户是否拥有某权限。 1.2.2 封装权限信息 修改登录服务,给定一个固定权限集合来模拟: 修改类,让SpringSecurity内部可以获取权限信息。
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 3389
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4186
spingboot+security 前后端分离支持csrf
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
springsecurity csrf前后端分离
09-02
对于前后端分离的应用,Spring Security提供了一种处理跨站请求伪造(CSRF)的方式。CSRF攻击是一种利用用户已经认证的身份进行恶意操作的攻击方式,而Spring Security通过在请求中包含一个CSRF令牌来防止此类攻击。 在前后端分离的应用中,前端通常会发送Ajax请求来与后端进行交互。为了防止CSRF攻击,可以在后端配置Spring Security来生成和验证CSRF令牌。 首先,在后端的Spring Security配置文件中,需要将CSRF保护启用。这可以通过以下代码实现: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() // 其他配置 } ``` 在这个配置中,我们使用了`CookieCsrfTokenRepository`作为CSRF令牌的存储库,并设置`httpOnly`为`false`,允许前端访问该Cookie。你也可以选择其他的存储库,如`HeaderCsrfTokenRepository`。 接下来,在前端的每个请求中,需要包含CSRF令牌。可以通过以下方式获取令牌: ```javascript var token = document.querySelector("meta[name='_csrf']").getAttribute("content"); var header = document.querySelector("meta[name='_csrf_header']").getAttribute("content"); ``` 然后,在每个请求中,将令牌放入请求头中: ```javascript var xhr = new XMLHttpRequest(); xhr.open("POST", url, true); xhr.setRequestHeader(header, token); // 其他请求设置 xhr.send(data); ``` 后端会验证请求头中的CSRF令牌与Cookie中的令牌是否匹配,如果匹配则继续处理请求,否则返回错误。 这样,通过在前端发送请求时包含CSRF令牌,并在后端验证令牌,就可以有效防止CSRF攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

£漫步 云端彡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值