jwt生成token：An expected CSRF token cannot be found

tag心动

已于 2023-09-25 21:28:58 修改

阅读量5.9k

点赞数 3

分类专栏：解决方案文章标签： csrf java jwt 经验分享后端

于 2022-09-30 10:58:04 首次发布

本文链接：https://blog.csdn.net/qq_36565692/article/details/127119329

版权

解决方案专栏收录该内容

17 篇文章

订阅专栏

文章目录

项目场景：
问题描述
解决案例：
- 案例一：
- 案例二：

项目场景：

gateway网关调用jwt生成token返回403，An expected CSRF token cannot be found

问题描述

接口请求jwt生成token。返回：An expected CSRF token cannot be found。

在这里插入图片描述

奇怪的是控制台没有打印任何异常提示

在这里插入图片描述

解决案例：

案例一：

原因分析：
我这边实际生成token是在auth服务，gateway服务通过feign远程调用生成token接口。打断点首先排查得知请求没有到auth服务，于是检查gateway这边相关代码发现也没问题，那就大概率是pom引入的jar导致了，经过逐个jar排查成功解决。

pom文件中移除jar包：spring-security-config后，重新加载maven

在这里插入图片描述

重启服务，成功解决！

在这里插入图片描述

案例二：

web服务接口走gateway服务鉴权认证。使用接口测试工具无法正常调用，使用web网页可以正常调用。漏配置了csrf

找到网关服务SecurityConfig类（资源服务器配置）SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) 方法，添加配置：

// 禁用 CSRF 保护。仅当应用程序从未在浏览器中使用时，才建议禁用 CSRF 保护。
        http.csrf(ServerHttpSecurity.CsrfSpec::disable);

在这里插入图片描述

重启服务运行测试

在这里插入图片描述

网关控制台日志：

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tag心动

关注关注

3
点赞
踩
3

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

Spring Security OAuth2 概念及实战：OAuth2 是一种用于授权第三方应用访问某些受保护

AI天才研究院

08-05

1556

OAuth（开放授权）是一个开放标准，它允许用户提供一个标识符让应用得以安全地请求特定的服务（如照片，视频或联系人数据）。该标准由 IETF 管理，并得到了行业的广泛支持。OAuth 允许用户直接授权给第三方应用其需要的权限，而无需将用户名和密码等敏感信息暴露给这些应用。OAuth2 是 OAuth 的最新版本，具有更好的安全性、更强的可伸缩性和易用性。它允许第三方应用获得仅限特定资源的访问权，并且不会向资源所有者授予超过所需的权限。

超实用，Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo

bishe_teacher的博客

06-30

379

超实用，Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo 简介完整代码： https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom 运行展示超实用，Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo 超实用，Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo 超实用，Spring Security+JWT+Vue实现一个前后端分离无状态认

1 条评论您还未登录，请先登录后发表或查看评论

HTTP Status 403 - Expected CSRF token not found.

夏虫不可语寒的博客

10-07

3803

这个问题是我在SpringSecurity和gateway整合时候产生的，查了半天，网上也没找到个结果，就想到可能是pom文件里面导错包了。然后改了一下就ok了，具体是哪个包不是很清楚，仅供参考。 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-commons</artifactId&gt

An expected CSRF token cannot be found

爱飞的男孩的博客

03-25

3098

注册这个bean即可解决问题。

Expected CSRF token not found. Has your session expired

记录

06-27

4187

{ "timestamp": 1530086973535, "status": 403, "error": "Forbidden", "message": "Expected CSRF token not found. Has your session expired?", "path": "/article/get&q

Postman填充CSRF遇到获取不到token问题

azlxxx的博客

10-10

3348

在发送POST请求时出现403forbidden 解决： 1.添加代码 var csrf_token = postman.getResponseCookie("csrftoken").value postman.clearGlobalVariable("csrftoken"); postman.setGlobalVariable("csrftoken", csrf_token); 2.查看全局变量错误情况：小眼睛里没有自动获得全局变量分析：无法获取到cookies所以获取不到csrf 解决：改

Expected CSRF token not found. Has your session expired?

And_leayf的博客

10-15

1050

突然发生的问题，暂时不知道具体原因。清除浏览器缓存，时间范围大一点。

django中未给后端传递csrf_token导致not found的解决方案

hao_sir

04-27

748

1. 序列化，前提：前端存在表单 2.设置请求头 3. 取消对某特定视图函数的验证

JWT安全指南：Token生成与验证的最佳实践

本文首先介绍了JWT的基础知识和生成原理，包括其结构的三个组成部分（头部、载荷、签名），以及生成Token的过程和安全特性。随后，深入探讨了JWT Token的验证机制和最佳实践，着重解析了在实际应用中可能遇到的安

基于jwt的token验证

weixin_34266504的博客

06-06

1159

一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519). 该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该t...

【Hono】实战：参数校验+响应标准化

热门推荐

lepton126的专栏

09-06

2万+

该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie，应该是浏览器本身不允许设置cookies。以下步骤可解决这个问题。 Chrome 打开Chrome的设置。在隐私设置和安全性版块中，点击Cookies及其他网站数据。下滑到始终能使用 Cookie 的网站并点击添加。复制粘贴"[*.]example.com"并点击添加。然后复制粘贴"[*.]test.net"并点击添加。点击所有cookies和网站数据，搜索example或test，然后删除所有的相关条目。重

Laravel 报错 CSRF not found的处理办法

qq_35574191的博客

12-20

2746

Laravel 报错 CSRF not found的处理办法错误截图：Laravel CSRF是Laravel为每个活跃用户的回话生成的一个用于验证用户身份的防止跨站请求伪造（CSRF）攻击的【令牌】。Laravel的建议是：任何情况下当你在应用程序中定义 HTML 表单时，都应该在表单中包含一个隐藏的 CSRF 令牌字段，以便 CSRF 保护中间件可以验证该请求而在我的项目中，我使用了la

10个Bug环环相扣，你能解开几个？

BYvonne的博客

11-26

692

简介：由阿里云云效主办的2021年第3届83行代码挑战赛已经收官。超2万人围观，近4000人参赛，85个团队组团来战。大赛采用游戏闯关玩儿法，融合元宇宙科幻和剧本杀元素，让一众开发者玩得不亦乐乎。今天请来决赛赛题设计者杜万，给大家分享一下设计与解题思路。

Web安全 - 跨站点请求伪造CSRF（Cross Site Request Forgery）

小工匠

09-29

5194

CSRF (Cross-Site Request Forgery，跨站请求伪造) 是一种攻击方式，攻击者诱导用户在不知情的情况下发起非授权的请求。例如，用户在登录某个站点后，攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接，利用用户已登录的状态，发起用户意图之外的操作，如转账、修改账户设置等。：在每次受保护的请求中，服务器生成一个唯一的CSRF Token，注入到表单或请求头中。：对于敏感操作，可以要求用户进行额外的身份验证，如验证码或短信验证，防止攻击者即便利用用户的认证状态，也无法完成关键操作。

SpringGateway使用SpringSecurity防止CSRF攻击

new_ord的博客

03-14

7864

SpringGateway使用SpringSecurity防止CSRF攻击配置CSRF保护 @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { http .csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())) return http.bui

spring-security中的csrf防御机制(跨域请求伪造)

weixin_33965305的博客

12-13

285

什么是csrf？ csrf又称跨域请求伪造，攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：NYTimes.com（纽约时报）、Metafilter（一个大型的BLOG网站），YouTube和百度HI......而现在，互联网上的许多站点仍对此毫无防备...

python csrf token_使用python请求和csrf-token登录

weixin_42509614的博客

02-09

1373

我正在使用python的请求模块尝试登录网页 . 我打开一个requests.session()，然后我得到了一个元组件中包含的cookie和csrf-token . 我使用用户名，密码，隐藏的输入字段和元标记中的csrf-token构建我的有效负载 . 之后，我使用post方法，我通过登录URL，cookie，有效负载和 Headers . 但之后我无法访问登录页面后面的页面 . 我究竟做错了...