Spring Boot与Spring Security整合后post数据不了,403拒绝访问

最新推荐文章于 2023-12-04 17:16:28 发布
最新推荐文章于 2023-12-04 17:16:28 发布
阅读量2.5k 收藏 1
点赞数 1
分类专栏: spring boot

最近在学习Spring security与spring boot的整合,刚开始学习了登录和注销,想自己拓展一下,post一些数据,完成数据库的操作。

但是发现了403错误。

开始长达一天的查找资料解决问题中!!!

  1. 首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。
  2. 了解了错误后,大概就是我用户权限不够吧。当我登录以后,以admin权限去操作post还是一样的错误。
  3. 于是去configure方法中找,看看是不是可以设置接收post操作:
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/test","/test1").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                    .loginPage("/login")
                    .failureUrl("/login?error")
                    .permitAll()
                .and()
                .logout().permitAll();
    }
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

找方法函数 
最终没有任何头绪。 
4. 于是怀疑框架自身的抑制,果然被我找到了: 
解决CsrfFilter与Rest服务Post方式的矛盾 
具体就是框架内部防止CSRF(Cross-site request forgery跨站请求伪造)的发生,限制了除了get以外的大多数方法。 
5. 但是上述的解决方法是直接过滤掉指定的url,使其可以使用post以及其他被限制的方法,是一个漏洞!!!况且讲的是spring mvc 的配置文件方法。但是在Spring boot上还不知道怎么解决。。 
6. 于是想到了去Spring Boot的文档看看与security相关的操作: 
github上的文档:security例子里的security 
简约到自己都不相信了。。 
7.于是想到直接去看Spring security文档好了: 
Using Spring Security CSRF Protection 
看到这里:
差点就想着把csrf的功能关掉。。。还好往下看到: 
Include the CSRF Token 
找到方法:
好了,终于找到解决办法了:只要添加这个token,后台就会验证这个token的正确性,如果正确,则接受post访问。 
8.但是又出现问题了。。我用的是thymeleaf模板: 
Put CSRF into Headers in Spring 4.0.3 + Spring Security 3.2.3 + Thymeleaf 2.1.2 
在stackoverflow上查到了。只要改一下: 
找到方法:

这样,就可以完成自己的delete,put,post,patch方法的访问了



11.1更新: 

$(document).ajaxSend(function(event,xhr,options) {
	xhr.setRequestHeader(header, token);
});

这种方式是把所有ajax请求都前置了spring security的header,导致一些请求到正常服务器的报错

作些修改: 
	$.ajax( {
		url:reqUrl,// 跳转到 action
		data:{},
		type:'get',
		cache:false,
		dataType:'json',
		async: false,
		beforeSend: function(request) {
			if(header != null)
				request.setRequestHeader(header, token);
		},
		success:function(data) {
			console.log(data);
			if(data.data == null)
				data.data = "";

			ue.setContent(data.data);
		},
		error : function(XMLHttpRequest, textStatus, errorThrown) {
			;
		}
	});
中的这段: 
		beforeSend: function(request) {
			if(header != null)
				request.setRequestHeader(header, token);
		},

给个别ajax请求带上spring security的header验证,搞定
pois
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot403问题--跨域问题
Zarkjobs的博客
09-18 1万+
一、跨域设置问题 1.先初始化 2.过滤相应Request和Response请求 3.销毁调用 package com.yihuisoft.yihuisoftservice; import org.springframework.core.annotation.Order; import javax.servlet.*; import javax.servlet.annotation...
Spring BootSpring Security POST请求403
myli92的博客
05-12 3557
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
运行这个类,你就可以在浏览器中访问你的应用程序,体验Spring BootSpring Security整合后的登录登出功能了。 总结,本教程主要介绍了Spring Boot整合Spring Security的基础步骤,包括配置安全控制、实现用户认证...
Spring BootSpring Security应用例子
08-12
通过这个示例,你已经了解了如何使用Spring BootSpring Security来构建一个基础的Web应用程序,实现用户认证和授权。Spring Security提供了强大的安全框架,可以自定义许多方面,包括权限管理、记住我功能、会话...
后端分离 -- Spring Boot + Spring Security + Vue + ElementUI 实现用户认证
01-24
2. Spring Boot接收到请求后,Spring Security会进行身份验证,验证成功则生成令牌(Token)。 3. 将令牌返回给前端前端将其保存在本地,如Cookie或LocalStorage。 4. 后续的API调用,前端需要附带上这个令牌,...
Spring Boot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
06-08
尽可能贴合 Spring Security 的设计 实现注解权限控制 登入: POST 用户名密码到 \login 请求到达 JwtAuthenticationFilter 中的 attemptAuthentication() 方法,获取 request 中的 POST 参数,包装成一个 ...
解决Vue调用springboot接口403跨域问题
12-11
最近在做一个前后端分离的项目, 前端用的是Vue后端使用的是springboot, 在项目整合的时候发现前端调用后端接口报错403跨域请求问题 前端跨域请求已解决, 那么问题就出在后端了, 找了一些资料找到了很多种方法, 这里说两个简单粗暴的. 注意:“@CrossOrigin“注解要求jdk1.8及以上版本, SpringMVC 4.2及以上版本 1. 在controller层上添加@Configuration注解, 如果没有效果请制定RequestMapping总的method类型在试一下.(此注解也可以加在方法上) 2. 上面的方法解决的是部分功能的跨域问题, 有的时候我们需要全局跨域,
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7195
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
Spring Boot请求403 Forbidden错误
热门推荐
lymboy的博客
08-04 1万+
项目中引入了Spring Security框架做权限控制,但是出于调试的方便,在开始的时候就禁用了Spring Security,计划到项目后期再专门开发。 但是,在调试的过程中发现,Postman发出的请求后台无法正确接受处理,一直返回403错误。 除GET请求可正常访问外,POST,PUT,DELETE请求全部报403 Forbidden错误。 最初怀疑是代码有问题,检查无误后问题依然存在,最后只好使用Spring Boot自带的MockMVC测试框架来测试,所有的功能都可以正常响应,只是使用浏览器
SpringSecurity登录验证没有权限的问题(403
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
spring boot 集成 spring securty登陆时报 403
无需有太多~
01-07 4160
今天想把springsecurity集成到boot中,然后一个奇怪的错误就出现了,登陆地址老是出现403,搞了半天,找了各种问题,没想到只是需要关掉 csrf这个东西,如果你集成时出现登陆一直报403或者一直往登陆页面跳,那么你可能需要配置如下: http.and().csrf().disable(); 案例如下: @Configuration public class SecurityConf...
spring security POST请求403 Forbidden
爱上编程2705
10-22 2960
spring security POST请求403 Forbidden Security配置代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 配置不需要验证 * @param http * @throws Exception */ @Override protected
Spring-Security取消验证-Get请求接口正常,Post请求报错403
最新发布
u010753376的专栏
12-04 572
Get请求接口正常,Post请求报错403.
SpringBoot请求403 Forbidden
weixin_53802962的博客
02-09 6361
文章目录前言一、post请求403 Forbidden ?二、如何解决1.手动关闭csrf请求 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、post请求403 Forbidden ? pom.xml引入Spring-boot-starter-security后,默认会开启Spring 基本权身份验证,默认开启了防CSRF(跨
spring boot Security jwt aouth2整合代码
05-26
以下是Spring Boot集成Spring Security、JWT和OAuth2的示例代码: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置Spring SecuritySpring Boot应用程序中,可以通过配置类来配置Spring Security。创建一个配置类,命名为SecurityConfig.java,并添加以下内容: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private PasswordEncoder passwordEncoder; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and().formLogin().permitAll(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 这个类配置了Spring Security,启用了Web安全性,并定义了一个UserDetailsService实例,该实例将用于验证用户。 3. 配置OAuth2 创建一个OAuth2配置类,命名为OAuth2Config.java,并添加以下内容: ```java @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService) .accessTokenConverter(accessTokenConverter()); } @Bean public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("secret"); return converter; } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()"); } @Bean public ClientDetailsService clientDetailsService() { return new JdbcClientDetailsService(dataSource); } @Bean public ApprovalStore approvalStore() { return new JdbcApprovalStore(dataSource); } } ``` 这个类配置了OAuth2服务端,启用了授权服务器,并定义了一个客户端详情服务实例,该实例将用于管理客户端的详细信息。它还定义了一个令牌存储实例,该实例将用于存储访问令牌。 4. 配置JWT 创建一个JWT配置类,命名为JwtConfig.java,并添加以下内容: ```java @Configuration public class JwtConfig { @Value("${jwt.secret}") private String secret; @Bean public Key key() { return Keys.hmacShaKeyFor(secret.getBytes()); } @Bean public JwtDecoder jwtDecoder() { return NimbusJwtDecoder.withSecretKey(key()).build(); } @Bean public JwtEncoder jwtEncoder() { return NimbusJwtEncoder.withSecretKey(key()).build(); } } ``` 这个类配置了JWT,定义了一个秘钥,该秘钥将用于签署和验证JWT令牌。 5. 配置资源服务器 创建一个资源服务器配置类,命名为ResourceServerConfig.java,并添加以下内容: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Autowired private JwtAccessTokenConverter accessTokenConverter; @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.tokenStore(tokenStore()).accessTokenConverter(accessTokenConverter); } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter); } } ``` 这个类配置了资源服务器,启用了资源服务器,并定义了一个令牌存储实例,该实例将用于存储访问令牌。 6. 创建实体类 创建一个User实体类,命名为User.java,并添加以下内容: ```java @Entity @Table(name = "users") public class User implements UserDetails { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(unique = true) private String username; private String password; @ElementCollection(fetch = FetchType.EAGER) private List<String> roles; @Override public Collection<? extends GrantedAuthority> getAuthorities() { return roles.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList()); } @Override public String getPassword() { return password; } @Override public String getUsername() { return username; } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } } ``` 这个类定义了一个用户实体,实现了UserDetails接口,该接口提供了有关用户的详细信息。 7. 创建数据访问对象 创建一个UserRepository接口,命名为UserRepository.java,并继承JpaRepository接口,添加以下内容: ```java @Repository public interface UserRepository extends JpaRepository<User, Long> { Optional<User> findByUsername(String username); } ``` 这个接口定义了一个用户数据访问对象,用于管理用户。 8. 实现用户服务 创建一个UserServiceImpl类,命名为UserServiceImpl.java,并添加以下内容: ```java @Service public class UserServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { return userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found")); } } ``` 这个类实现了UserDetailsService接口,该接口提供了一个方法,根据用户名加载用户信息。 9. 创建控制器 创建一个UserController类,命名为UserController.java,并添加以下内容: ```java @RestController @RequestMapping("/api") public class UserController { @GetMapping("/users") public List<User> getUsers() { return userRepository.findAll(); } @PostMapping("/users") public User createUser(@RequestBody User user) { user.setPassword(passwordEncoder.encode(user.getPassword())); return userRepository.save(user); } @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; } ``` 这个类定义了一个RESTful API控制器,用于管理用户。 10. 测试 启动应用程序,并使用Postman测试API接口。例如,使用POST方法向/api/users端点发送请求,创建一个新用户。 这就是Spring Boot集成Spring Security、JWT和OAuth2的示例代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值