调用Spring Security下接口 get 可以成功,而post失败

最新推荐文章于 2024-04-12 19:00:42 发布
最新推荐文章于 2024-04-12 19:00:42 发布
阅读量3.4k 收藏 5
点赞数 1
分类专栏: springsecurity 文章标签: java 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014295903/article/details/103922324
版权

调用Spring Security下接口 get 可以成功,而post失败

问题描述

调用第三方接口的时候,因为接口是在Spring Security权限项目路下的,所以会出现只有get成功而post失败的情况。

原因

springSecurity会对所有http请求以及所有静态资源进行拦截,一般情况下静态资源以及http请求则不需要进行拦截。

		http.authorizeRequests()
				.antMatchers("/api/**", "/css/**", "/js/**", "/fonts/**", "/images/**")
				.permitAll()
				.anyRequest()
				.authenticated()

以上是基本配置,就是允许拦截通过。
但是springSecurity在2.0之后会默认自动开启CSRF跨站防护,而一旦开启了CSRF,所有经的http请求以及资源都被会CsrfFilter拦截,仅仅GET|HEAD|TRACE|OPTIONS这4类方法会被放行,也就是说post,delete等方法依旧是被拦截掉的,限制了除了get以外的大多数方法,报出403错误。

解决方案

查阅了一些帖子,最多的就是关闭CSRF或者重写过滤器。当然方法很多,毕竟跨域的作用也很大。所以就有ignoring方法的使用了。它是完全绕过spring security的所有filter的。罗列以下三种方式:

1.法一

直接配置configure(HttpSecurity http),直接关闭,这样的话都不会被拦截,所以还是不建议这样做

http.csrf().disable();

2.法二

通过配置方形的url,这样就不会拦截

http.csrf().ignoringAntMatchers("/druid/*");

3.法三

单独拿出来配置,与前两者不同,配置类中再次重写configure方法

@Override
	public void configure(WebSecurity web){
		web.ignoring().antMatchers("/api/**", "/css/**", "/js/**", "/fonts/**", "/images/**", "/lib/**","/ws/**");
	}

完整配置展示

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private MyAuthenctiationSuccessHandler myAuthenctiationSuccessHandler;
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.headers().frameOptions().disable(); //用于加载页面iframe部分
		http.authorizeRequests()
				.antMatchers("/druid/**","/getVerify","/css/**", "/js/**", "/fonts/**")
				.permitAll() // 允许所有用户访问
				.anyRequest().authenticated()
				.and()
			.formLogin() // 定义当需要用户登录时候,转到的登录页面
				.loginPage("/login") 
				.failureUrl("/login?error=true")
				.defaultSuccessUrl("/index")//成功登录后跳转页面
				.successHandler(myAuthenctiationSuccessHandler)
				.permitAll()
				.and()
			.sessionManagement()
				.invalidSessionUrl("/login")
				.and()
			.requestCache().disable()
			.logout()
				.logoutSuccessUrl("/login") //成功退出后跳转到的页面
				.permitAll()//退出
				.and()
			.csrf()//.disable();
			.ignoringAntMatchers("/pushLog/**","/druid/**");
	}
	
	@Override
	public void configure(WebSecurity web){
		web.ignoring().antMatchers("/swagger-ui.html","/doc.html", "/v2/**", "/webjars/**", "/swagger-resources/**");
	}
	
	@Bean
    public AuthenticationProvider authenticationProvider() {
        AuthenticationProvider provider = new MyAuthenticationProvider();
        return provider;
    }
	
	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }
	
}

总结

这样的方式也比较直接简单,本文也没有对源码进行阐述,以后会不上,也是因为正好遇到这个问题,写出来大家一起学习吧,对于接口的认证则需要自己在接口中进行验证了。有什么想法,或者不对的欢迎留言啊

herozhi0821
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security - post请求不了,报错:405错误
brucechen110的博客
04-08 4004
主要问题在:SecurityConfig 文件中的配置存在问题,需要把:csrf防护给关闭掉(security默认是打开的) 以下是详细代码实例: package com.zsdag.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.an...
Spring Boot与Spring Security整合后post数据不了,403拒绝访问
热门推荐
邹浩阳的专栏
08-19 5万+
最近在学习Spring securityspring boot的整合,刚开始学习了登录和注销,想自己拓展一下,post一些数据,完成数据库的操作。开始长达一天的查找资料解决问题中!!! 首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 了解了错误后,大概就是我用户权限不够吧。当我登录以后,以admin权限去操作post
Spring Boot使用Spring Security POST无法访问解决方案
程序新视界
03-24 5631
在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity,但是在使用的过程中发现一个问题,就是get请求可以正常访问,而post的请求却无法访问。 再三检查了对url路径权限的匹配,都没有问题。上篇文章中对应的SecurityConfig配置如下: @EnableWebSecurity public class WebSe...
【前端】为什么postman可以请求成功,并且GET请求没有问题,但是POST访问却是403?
最新发布
weixin_48337403的博客
04-12 2736
前端访问403问题和get请求,后端同源策略设置,postman的特殊之处
SpringSecurityGet请求可以响应,Post请求无法响应返回403 Forbidden
woaiwojialanxi的专栏
05-02 1838
背景 在学习SpringSecurity的时候同一一个接口,Get请求有响应,但POST请求就没有响应返回403Forbidden ,最后在官方文档FAQ找到了解决方法 解决方法 意思是:post无响应与CSRF有关,解决这个问题的方法有两种: 客户端提供Token 关闭CSRF(官方不推荐) 在代码中禁用CSRF即可 ...
排查springsecurity,get请求正常,post请求403错误
码农小麦
08-03 1981
排查使用springsecurity允许目标路径访问,get请求正常,post请求403错误。
SpringSecurity的无法访问post请求
m0_64998696的博客
05-08 594
SpringSecurity的无法访问post请求
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3489
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
Ajax用GET提交可以收到数据,而POST不行的原因
a15119273009的博客
04-14 1903
Ajax用GET提交可以收到数据,而POST不行的原因 我这里用的SpringBoot+Ajax,在提交name属性时,发现GET提交后台就能正常收到,而POST提交了,网页调试里已经看到正确提交了,但是后台就是收不到,百度了一些前者的经验,主要有如下几个原因: 1、提交的属性有重复名字的 2、提交的属性类型与后台接收类型不一致 3、未设置请求头:xhr.setRequestHeader("Con...
springboot,springSecurityPOST请求404,坑死个人
乐闻世界
09-12 1万+
springboot,springSecurityPOST请求404,坑死个人
Spring 处理跨域请求
weixin_42683274的博客
06-02 640
Spring 处理跨域请求
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计毕业设计.zip
10-20
- **RESTful API**:利用Spring Boot的Web支持,设计符合REST原则的API接口,如GET、POST、PUT、DELETE,用于客户端交互。 - **视图层**:Thymeleaf用于渲染前端界面,展示疫情数据,如统计图表、地图等。 - **...
http远程接口调用-httpClient+跳过SSL证书校验
08-04
通过创建自定义的SSLContext和HostnameVerifier,我们可以轻松地绕过SSL校验,从而简化接口调用流程。然而,这必须谨慎使用,避免在生产环境中引入安全风险。在apitest文件中,你可以找到包含HttpClient工具类代码,...
基于Spring Boot,Spring Security angular js使用集成activiti工作流实现
11-09
通过自动配置和“开箱即用”的特性,Spring Boot使得开发者可以快速搭建应用,而无需进行大量的配置工作。在本项目中,Spring Boot作为基础框架,为应用提供了依赖管理和运行环境。 **Spring Security** Spring ...
Spring Security 参考文档
02-05
- 对敏感操作使用POST请求,防止GET请求被意外触发。 - 使用HTTPS提高传输安全性。 综上所述,Spring Security 3.0.1提供了一整套完善的安全解决方案,涵盖了Web应用的安全需求,通过灵活的配置和扩展机制,能够...
java8stream源码-spring-security-jwt:安全
06-04
并实现POST,GET,DELETE请求。包括如何在 Vue 中使用后端的 XSRF-TOKEN 防范 CSRF 攻击 技术栈 组件 技术 前端 Vue.js 2 后端 (REST API) SpringBoot (Java) 安全 Token Based (Spring Security, JJWT, CSRF) 前端...
Springboot解决跨域GET请求成功POST失败解决方案
小子宝丁的博客
12-15 3434
Request header field content-type is not allowed by Access-Control-Allow-Headers in preflight response.* 发现GET请求通了,但是PUT、POST等请求方法不通。
spring cloud整合spring security oauth2时允许Get请求获得令牌
无名剑
04-10 1804
实现AuthorizationServerConfigurerAdapter,进行认证配置 开启允许客户端表单认证 配置TokenEndpoint(令牌端点)允许的请求方法 源码片段 @Configuration @EnableAuthorizationServer protected class AuthorizationServerConfiguration extends Au...
springcloud gateway代理get正常、post请求报错的问题
tianyaleixiaowu的专栏
10-24 1万+
在上一篇时,我们在使用gateway的反向代理功能时,发现了一个很严重的问题,那就是通过gateway去访问后端服务时,如果发起的是Get请求,就一切正常,如果是Post请求,就会报错。无论是使用什么filter。 java.lang.IllegalStateException: Only one connection receive subscriber allowed. at react...
Spring Security短信登录
08-25
Spring Security提供了一种简单的方式来实现短信登录功能。下面是一个基本的示例配置: 1. 首先,确保你的项目中已经引入了Spring Security依赖。 2. 创建一个用于处理短信登录的控制器。例如,你可以创建一个`SmsLoginController`类。 ```java @RestController public class SmsLoginController { @PostMapping("/login/sms") public ResponseEntity<String> loginWithSms(@RequestParam("phoneNumber") String phoneNumber, @RequestParam("smsCode") String smsCode) { // 在这里编写验证逻辑和登录逻辑 // 验证手机号码和短信验证码是否匹配,并且登录用户 return ResponseEntity.ok("登录成功"); } } ``` 3. 创建一个Spring Security配置类,并进行相应的配置。例如,你可以创建一个`SecurityConfig`类。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login/sms").permitAll() // 允许短信登录接口的匿名访问 .anyRequest().authenticated() // 其他请求需要认证 .and() .formLogin() .disable() // 禁用表单登录 .logout() .disable() // 禁用注销功能 .csrf() .disable(); // 禁用CSRF保护(仅供示例,实际项目需要启用CSRF保护) } } ``` 4. 设置短信登录的配置。可以通过实现`AuthenticationProvider`接口来自定义短信登录的验证逻辑。例如,你可以创建一个`SmsCodeAuthenticationProvider`类。 ```java @Component public class SmsCodeAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String phoneNumber = authentication.getPrincipal().toString(); String smsCode = authentication.getCredentials().toString(); // 在这里编写验证逻辑,例如调用短信服务商的接口校验短信验证码 // 校验通过后,创建一个认证成功的Authentication对象 SmsCodeAuthenticationToken authenticatedToken = new SmsCodeAuthenticationToken(phoneNumber, null); authenticatedToken.setDetails(authentication.getDetails()); return authenticatedToken; } @Override public boolean supports(Class<?> authentication) { return (SmsCodeAuthenticationToken.class.isAssignableFrom(authentication)); } } ``` 5. 注册短信登录配置。在上述的`SecurityConfig`类中,通过重写`configure`方法注册短信登录的配置。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private SmsCodeAuthenticationProvider smsCodeAuthenticationProvider; @Override protected void configure(HttpSecurity http) throws Exception { // 省略其他配置... // 注册短信登录的配置 SmsCodeAuthenticationFilter smsCodeAuthenticationFilter = new SmsCodeAuthenticationFilter(); smsCodeAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); smsCodeAuthenticationFilter.setAuthenticationSuccessHandler(new SimpleUrlAuthenticationSuccessHandler()); smsCodeAuthenticationFilter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler()); http.authenticationProvider(smsCodeAuthenticationProvider) .addFilterAfter(smsCodeAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 现在,你可以使用`/login/sms`接口来进行短信登录了。向该接口发送POST请求,携带手机号码和短信验证码作为参数即可实现短信登录功能。请注意,以上只是一个简单的示例,实际项目中可能需要进行更多的配置和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值