spring boot 集成 spring securty登陆时报 403

最新推荐文章于 2024-08-13 08:00:22 发布
最新推荐文章于 2024-08-13 08:00:22 发布
阅读量4.1k 收藏
点赞数 2
分类专栏: spring-boot spring security 文章标签: spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35170213/article/details/86014394
版权

今天想把springsecurity集成到boot中,然后一个奇怪的错误就出现了,登陆地址老是出现403,搞了半天,找了各种问题,没想到只是需要关掉 csrf这个东西,如果你集成时出现登陆一直报403或者一直往登陆页面跳,那么你可能需要配置如下:

http.and().csrf().disable();

案例如下:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
             .loginPage("/login.html")
             .loginProcessingUrl("/login")
             .and()
             .authorizeRequests()
             .antMatchers("/login.html", "/login", "/error")
             .permitAll()
             .anyRequest().authenticated()

             .and().csrf().disable();
    }

}

出现的原因:
spring security默认开启了csrf防护,也就是他会在他的拦截器链上加上
org.springframework.security.web.csrf.CsrfFilter 这个类,这个类中的
doFilterInternal 方法如下:

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
	//获取你当前请求(Session或Cookie)中的CsrfToken
	CsrfToken csrfToken = this.tokenRepository.loadToken(request);
	final boolean missingToken = csrfToken == null;
	//如果不存在就给你生成一个并保存到请求(Session或Cookie)中;
	if (missingToken) {
		csrfToken = this.tokenRepository.generateToken(request);
		this.tokenRepository.saveToken(csrfToken, request, response);
	}
	// 这里就是关键,这个匹配器,代码在如下:	
	//private final HashSet<String> allowedMethods = new HashSet<>(
	//			Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS"));
	//public boolean matches(HttpServletRequest request) {
	//	return !this.allowedMethods.contains(request.getMethod());
	//}
	// 根据上面的代码我们可以看出来,请求的方法类型只包括GET,HEAD,TRACE,OPTION 
	//而没有Post,但是你得登陆拦截地址是Post的,所以会不走下面的代码,继续往下走
	if (!this.requireCsrfProtectionMatcher.matches(request)) {
		filterChain.doFilter(request, response);
		return;
	}
	// 他开始从请求头部取token了,如果没取到,那么他会去参数里面取
	String actualToken = request.getHeader(csrfToken.getHeaderName());
	if (actualToken == null) {
		actualToken = request.getParameter(csrfToken.getParameterName());
	}
	// 如果存到请求(Session或Cookie)中的csrfToken不是取出来的token,就会抛出对应的异常,
	//如果你不开启 logging.level.org.springframework.security.web.csrf.CsrfFilter = debug
	// 信息你都看不到,这个错误就会显得那么奇怪,
	if (!csrfToken.getToken().equals(actualToken)) {
		 
		if (missingToken) {
			this.accessDeniedHandler.handle(request, response, new MissingCsrfTokenException(actualToken));
		}else {
			this.accessDeniedHandler.handle(request, response, new InvalidCsrfTokenException(csrfToken, actualToken));
		}
		return;
	}

	filterChain.doFilter(request, response);
	}

解决办法也不止关闭 csrf,你还可以自定义这个匹配类,然后配置进来!

/**
 * 自定义跨站请求攻击匹配类
 * @author qiaolin
 * @version 2019/1/8
 **/
 @Component
public class MyRequestMatcher implements RequestMatcher {
    @Override
    public boolean matches(HttpServletRequest request) {
        // 自定义一些访问规则
        return false;
    }
}

//下面代码为配置类中(简写了),我们需要把自己的匹配规则类配置
@Autowired
private RequestMatcher requestMatcher;

protected void configure(HttpSecurity http) throws Exception {
	http.csrf().requireCsrfProtectionMatcher(requestMatcher);
}

如果你害怕 csrf 攻击,那么你可以看看spring secuirty的官方文档,
https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-include-csrf-token

文档上介绍了JSP怎么做,ajax的时候怎么做,但是看代码模式都是前后端不分离的!如果是前后端分离暂时还没想好怎么做!

无需有太多
关注
专栏目录
security 登陆成功 访问 403_Spring Boot整合Spring Security实现访问控制
weixin_42627459的博客
01-25 722
前言:安全框架目前有两大主流,一个是apache的Shiro,一个是SpringSpring Security,曾经用过Shiro,此次想尝试一下security,加上Spring Boot可以无缝对接Security,所以在此使用Security作为安全组件。 安全框架主要功能为:身份认证,权限控制,预防漏洞攻击 所以接下来我们围绕如果配置身份认证,权限控制去整合Security。环境: I...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7873
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring BootSpring Security整合后post数据不了,403拒绝访问
热门推荐
邹浩阳的专栏
08-19 5万+
最近在学习Spring securityspring boot的整合,刚开始学习了登录和注销,想自己拓展一下,post一些数据,完成数据库的操作。开始长达一天的查找资料解决问题中!!! 首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 了解了错误后,大概就是我用户权限不够吧。当我登录以后,以admin权限去操作post
springboot security安全管理报错403
最新发布
weixin_74009895的博客
08-13 466
springboot security安全管理报错403
Spring BootSpring Security POST请求403
myli92的博客
05-12 3619
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
Spring Boot请求403 Forbidden错误
lymboy的博客
08-04 1万+
在项目中引入了Spring Security框架做权限控制,但是出于调试的方便,在开始的时候就禁用了Spring Security,计划到项目后期再专门开发。 但是,在调试的过程中发现,Postman发出的请求后台无法正确接受处理,一直返回403错误。 除GET请求可正常访问外,POST,PUT,DELETE请求全部报403 Forbidden错误。 最初怀疑是代码有问题,检查无误后问题依然存在,最后只好使用Spring Boot自带的MockMVC测试框架来测试,所有的功能都可以正常响应,只是使用浏览器
Spring Security修改默认的Bad Credentials提示 及其 原理(Spring Boot 2.0)
exces的专栏
03-13 1万+
Spring Security的各种提示内容来源于Spring的国际化资源文件类MessageSource,当我们想要修改默认提示时可能理所当然的会想到通过自己配置一个MessageSource的方式来实现,但是这种做法并不适用于Spring Security,原因如下,我们跟踪它的代码看看: Spring Security的登录密码验证有一个默认的实现类叫做DaoAuthentic...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot +spring security,实现RememberMe和实现原理分析
weixin_40991408的博客
05-24 882
Springboot +spring security,实现RememberMe和实现原理分析
springboot整合springsecurity小demo
07-19
关于springboot整合springsecurity的小demo,如需要连接数据库,可以去网上自己稍微看一下
一篇spring-securty文档
07-11
7. **集成**:Spring Security 可与Spring Boot无缝集成,提供了开箱即用的安全配置。同时,它可以与其他Spring模块(如Spring MVC、Spring Data JPA)以及非Spring项目协同工作。 8. **OAuth2支持**:对于需要第三...
SpringSecurity 验证 报403 问题
zhangaob的博客
03-24 1240
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。找到实现 UserDetails类的类,我这叫LoginUser。debug,每次认证的时候总是 这里结束。下面所有返回值是布尔值的方法,
SpringBootSpring Security整合,出现POST请求403
hefrankeleyn的博客
05-11 4134
近日在学习SpringBootSpring Security整合,遇到post请求403的问题: 最初调试该问题的时候,去到SecurityConfig.java 中配置 POST请求, 发现并不奏效: http.authorizeRequests() .antMatchers(HttpMethod.POST, "/readingList/**").ha...
springboot 访问上传页面因csrf出现403的问题
csk83922的博客
06-23 573
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecur...
springboot403问题--跨域问题
Zarkjobs的博客
09-18 1万+
一、跨域设置问题 1.先初始化 2.过滤相应Request和Response请求 3.销毁调用 package com.yihuisoft.yihuisoftservice; import org.springframework.core.annotation.Order; import javax.servlet.*; import javax.servlet.annotation...
springboot整合spring security,表单提交403拒绝访问和sec:authorize="isAuthenticated()"失效问题。
Mr_Simple_V的博客
12-01 2407
最近在学习springboot整合spring security遇到一些问题: 1.有一个新增用户的页面,是使用的form表单进行的post提交。但是总是会报403错误: 好多小伙伴不陌生吧,对于这个页面,我们都知道403就是权限不足,但是我是有给权限的。 .antMatchers("/users/**").hasRole("ADMIN") 登录的用户就是ADMIN权限,但是访问就会报错,就很纳...
SpringBoot请求报403 Forbidden
weixin_53802962的博客
02-09 6579
文章目录前言一、post请求报403 Forbidden ?二、如何解决1.手动关闭csrf请求 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、post请求报403 Forbidden ? pom.xml引入Spring-boot-starter-security后,默认会开启Spring 基本权身份验证,默认开启了防CSRF(跨
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值