前后端分离 使用spring security的csrf

最新推荐文章于 2024-09-18 11:12:20 发布
最新推荐文章于 2024-09-18 11:12:20 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: vue 文章标签: spring java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44989936/article/details/120036089
版权

导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆

CsrfFilter 逻辑如下:

①熟悉基本类
CsrfToken 保存了token

public interface CsrfToken extends Serializable {
    String getHeaderName();

    String getParameterName();

    String getToken();
}

CsrfTokenRepository 就是一个csrftoken容器,保存了当前会话的CsrfToken,负责生成获取token
部分字段,对应上面

    private String parameterName = "_csrf";
    private String headerName = "X-CSRF-TOKEN";

生成 token,token只会在创造时创建,后面不会改变

    private String createNewToken() {
        return UUID.randomUUID().toString();
    }

②给request域添加CsrfToken

 request.setAttribute(CsrfToken.class.getName(), csrfToken);
 request.setAttribute(csrfToken.getParameterName(), csrfToken); "_csrf"

③判断是否如下请求(内部类)

       this.allowedMethods = new HashSet(Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS"));

④如果不是,则从参数或者请求头获取token

 String actualToken = request.getHeader(csrfToken.getHeaderName());
 if (actualToken == null) {
   actualToken = request.getParameter(csrfToken.getParameterName());
            }

总结:

1、get请求获取token,传递给前端

  CsrfToken _csrf= (CsrfToken) httpServletRequest.getAttribute("_csrf");

2、前端post 添加一个请求头或者参数

//参数名
    private String parameterName = "_csrf";
//请求头名
    private String headerName = "X-CSRF-TOKEN";

3、如果某个post请求在获取token前使用

csrf().ignoringAntMatchers("/login"),则忽略
兔子也发飙
关注
专栏目录
前后端分离解决CSRF问题
ws_flying的博客
10-22 3350
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4300
spingboot+security 前后端分离支持csrf
springsecurity 如何实现前后端分离登录跳转
weixin_34278711的博客
08-28 386
前后端分离的应用中,通常前端和后端是通过 API 接口进行通信的,前端负责用户界面和用户交互,而后端处理业务逻辑和数据存取。在这种架构下,登录认证流程需要特别设计,以确保安全性并提供良好的用户体验。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3990
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 689
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
SpringSecurity前后端分离授权
风间琉璃の博客
06-07 750
SpringSecurity中,默认使用FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从获取其中的,然后获取其中的权限信息。判断当前用户是否包含访问资源的权限。因此需要将权限信息存入,然后对资源设置相应的访问权限。开启配置:类中添加如下注解: 限权访问:判断当前用户是否拥有某权限。 1.2.2 封装权限信息 修改登录服务,给定一个固定权限集合来模拟: 修改类,让SpringSecurity内部可以获取权限信息。
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
Spring Security前后端分离项目中的使用
KRYST4L123的博客
02-26 350
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder中的matches方法进行校验,但是此时在Spring容器中并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity前后端分离
m0_67393039的博客
08-02 843
继承了抽象类,抽象类实现了接口认证流程1、前端通过把用户名和密码发送到后端的控制器,控制器调用业务层2、Service层创建对象,把用户名和密码封装成对象3、然后调用的方法进行认证,抽象类中重写了方法4、的方法中调用了抽象方法方法5、在重写方法里调用了方法,自定义类实现接口,重写方法6、在方法中,会查询用户和角色,然后返回对象实现CommonResp接口,方便自定义异常后续修改错误信息//直接接收RespBeanEnum的传参用于构造业务异常super();//调用父类的无参构造方法。...
springsecurity+springboot前后端分离使用
weixin_43459944的博客
10-29 740
springboot使用springsecurity,前后端分离,若依框架学习
Spring Security 前后端分离认证
最新发布
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 88
我们初步引入了Spring Security,并使用其默认生效的HTTP基本认证来保护URL资源,本章我们使用表单认证来保护URL资源。
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Security+前后端分离CSRF使用
互联网编程爱好者
11-09 1391
Security+前后端分离CSRF使用 Security默认是开启CSRF保护的,与此类似的是CORS。具体我不是很了解,只知道CORS是管理跨域资源共享使用CSRF是保护网络攻击的。 开发环境中经常通过API post或者其他请求访问调试,这样子也就说明,可以通过http请求随意访问。因此开启CSRF保护,表示不可通过API post调试工具调试。 这样又出现了另外一个问题,前后端分离的情况下,怎么能通过CSRF调用呢? Security是由多个过滤器组成,CSRF实现也不例外,它是由CsrfFi
一篇文章带你使用 Spring Security 完成前后端分离使用 JSON 进行交互
南淮北安的博客
09-14 7018
文章目录一、无状态登录1. 什么是有状态2. 什么是无状态3. 如何实现无状态4. 各自优缺点二、登录交互1, 前后端分离的数据交互2. 登录成功3. 登录擦除三、未认证处理方案四、注销登录五、代码 一、无状态登录 1. 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 sessi
关于前后端分离时,如何解决djaogo的CSRF问题
LKMMKL
11-24 465
先说一句,这里我还没有找到我觉得合理的解决方案,记录了一些概念性的东西,还有别人的一些解决方法,但是我总觉得有点问题,希望有路过的同学,如果看明白了我的疑惑,能帮我解惑一下 1.如果前后端使用django来完成,那么这个CSRF防御应该是挺好解决的,可以在表单中加入{% csrf_token %}来完成。 <form action="add_book" method="post"> ...
Spring Boot | Spring Boot “CSRF 防护功能“ 、Security “管理前端页面“
m0_70720417的博客
05-19 1436
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 1977
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
Flask--CSRFToken保护(前后端分离和不分离的操作)、CORS跨域请求
paul0926的博客
07-03 4741
Flask--CSRFToken保护什么是csrfcsrf具体过程csrf保护实现后端写保护表单提交添加保护自定义错误响应和关闭保护ajax提交 前文: 查看官方文档:http://www.pythondoc.com/flask-wtf/csrf.html#id4 什么是csrf 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包...
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 3866
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
springsecurity csrf前后端分离
09-02
对于前后端分离的应用,Spring Security提供了一种处理跨站请求伪造(CSRF)的方式。CSRF攻击是一种利用用户已经认证的身份进行恶意操作的攻击方式,而Spring Security通过在请求中包含一个CSRF令牌来防止此类攻击。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值