用了SpringSecurity后怎么全是403Forbidden了

最新推荐文章于 2024-04-26 17:51:10 发布
最新推荐文章于 2024-04-26 17:51:10 发布
阅读量7k 收藏 8
点赞数 10
分类专栏: Spring Security 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43593829/article/details/116723307
版权

前言

前段时间倒腾Spring Security,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden,刚开始以为是权限配置错误,仔细检查了N遍,配置没有错误,但是登录之后接口返回确实是403Forbidden权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden,陷入对夜晚深深的思考~

image-20210510230635642

问题发现

确认问题肯定是由Spring Security引起的,直接开始DEBUG

Spring Security 在web场景的应用核心实现为Bean name为SpringSecurityFilterChain的这个Bean,Classorg.springframework.security.web.FilterChainProxy,SpringSecurityFilterChain中内部维护了一个FilterChain,默认FilterChain中会维护如下14个默认的Filter

image-20210510231254449

看到这里本能的看了下CSRF的拦截器CsrfFilter,感觉很有可能是CSRF被拦截导致的,直接跳转到org.springframework.security.web.csrf.CsrfFilter#doFilterInternal方法

CSRFFilter中都做了什么

CSRFFilter#doFilterInternal

CSRFFilter的doFilterInternal方法主要做了如下几件事情

  • tokenRepository中获取token,默认是从HttpSessionCsrfTokenRepository即session中获取token
  • 判断token是否为null,为null说明第一次请求,自动生成一个,并且设置到session
  • 判断是否是csrf需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS四种请求方式不校验
    • 不需要校验,直接执行后续FIlter
    • 需要校验
      • 从请求头中获取本次请求携带的token,没有则从请求参数中获取token
      • 判断从session中获取的token和从请求头中获取的token是否一致
        • token一致,执行后续Filter
        • 不一致
          • 两个token都存在,但是校验失败,返回InvalidCsrfTokenException
          • 否则返回MissingCsrfTokenException
          • 上面生成的异常交由AccessDeniedHandler处理,最终返回处理的结果异常

org.springframework.security.web.csrf.CsrfFilter#doFilterInternal

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        request.setAttribute(HttpServletResponse.class.getName(), response);
  			//从session中获取token
        CsrfToken csrfToken = this.tokenRepository.loadToken(request);
  			//token是否为空
        boolean missingToken = csrfToken == null;
        if (missingToken) {
          	//自动生成新的token
            csrfToken = this.tokenRepository.generateToken(request);
          	//保存token
            this.tokenRepository.saveToken(csrfToken, request, response);
        }

        request.setAttribute(CsrfToken.class.getName(), csrfToken);
        request.setAttribute(csrfToken.getParameterName(), csrfToken);
  			//是否是csrf需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS四种请求方式不校验
        if (!this.requireCsrfProtectionMatcher.matches(request)) {
            if (this.logger.isTraceEnabled()) {
                this.logger.trace("Did not protect against CSRF since request did not match " + this.requireCsrfProtectionMatcher);
            }
						//执行后续filter
            filterChain.doFilter(request, response);
        } else {
          	//否则需要校验,从请求头部获取token
            String actualToken = request.getHeader(csrfToken.getHeaderName());
            if (actualToken == null) {
              	//为空则从请求参数中获取
                actualToken = request.getParameter(csrfToken.getParameterName());
            }
						//判断两个token是否相等
            if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
                this.logger.debug(LogMessage.of(() -> {
                    return "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request);
                }));
              	//token缺失或者不对应,对应两个异常类型
                AccessDeniedException exception = !missingToken ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken);
              	//交由accessDeniedHandler处理
                this.accessDeniedHandler.handle(request, response, (AccessDeniedException)exception);
            } else {
              	//相等继续执行后续Filter
                filterChain.doFilter(request, response);
            }
        }
    }

AccessDeniedHandler#handle

org.springframework.security.web.access.AccessDeniedHandlerImpl#handle

  • 首先判断response是否已经提交,提交则什么也不做
  • 判断异常页面配置是否为null,为null则设置response的异常码
  • 异常页面不为null,则设置异常码,并且重定向到异常页面

public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
  			//response是否已经提交
        if (response.isCommitted()) {
            logger.trace("Did not write to response since already committed");
        //异常页面配置是否为null
        } else if (this.errorPage == null) {
            logger.debug("Responding with 403 status code");
          	//为null则设置FORBIDDEN错误码
            response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
        } else {
            request.setAttribute("SPRING_SECURITY_403_EXCEPTION", accessDeniedException);
            response.setStatus(HttpStatus.FORBIDDEN.value());
            if (logger.isDebugEnabled()) {
                logger.debug(LogMessage.format("Forwarding to %s with status code 403", this.errorPage));
            }
						//重定向到error页面
            request.getRequestDispatcher(this.errorPage).forward(request, response);
        }
    }

最终经历DEBUG后发现问题真凶,没有在POST请求中设置CSRFToken导致的,在之前的文章中有讲到,WebSecurityConfigurerAdapterconfigure方法中可以配置csrf的开关,简单粗暴的办法就是直接禁用掉csrf即可,虽然之前在整理的时候知道,实践的时候确是忘了

贴一下最终的configure配置

@Override
    protected void configure(HttpSecurity http) throws Exception {
          http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().csrf().disable();
    }

数据正常返回

image-20210510234419957

结语

纸上得来终觉浅,实践出真知,文章稍微水了点,也复习了CSRFFilter的执行过程,各位看官点个赞再走!!

java编程手记
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SpringSecurity框架登陆模块案例以及出现的重定向和403报错问题解决方式
qq_41174684的博客
05-13 3715
查看linux中的ip地址:ifconfig 为什么需要安全登陆模块,正常情况下,我们在系统的登陆页面要进行用户名和密码的验证,这个时候输入了正常的用户名和密码之后将会进入系统,但是实际上这种也是不安全的,不输入用户名和密码(不通过登陆)直接在浏览器中输入页面的路径也会进入系统,因此要控制这种不进行登陆就进入系统的情况,因此要在进入页面的时候判断用户是否是登陆了,如果是登陆状态就可以看,换句话说,...
SpringSecurity登录验证没有权限的问题(403
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
关于使用SpringSecurity框架发起JSON请求,但因登陆失效导致响应403的问题。
最新发布
qq826303461的博客
04-26 248
2.在配置类中引入该处理器,这里涉及到部分的业务代码,所以采用截图的方式,只需要将上面的失效处理器配置到config中即可。就是当用户登陆失效后,前端操作JSON请求获取列表数据,但因为登陆失效了。导致请求过不去返回结果。有个处理起对这个请求进行了处理,同时转发到了error页面。安全框架使用的是内置版本的SpringSecurity。3.在前端JS内对发起请求的地方做统一拦截处理。这里记录一个生产中遇到的一个问题。同时服务端也没有任何的异常日志。
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7099
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
SpringSecurity 验证 报403 问题
zhangaob的博客
03-24 1139
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。找到实现 UserDetails类的类,我这叫LoginUser。debug,每次认证的时候总是 这里结束。下面所有返回值是布尔值的方法,
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6627
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
spring security POST请求 报403 Forbidden
爱上编程2705
10-22 2892
spring security POST请求 报403 Forbidden Security配置代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 配置不需要验证 * @param http * @throws Exception */ @Override protected
Spring Cloud出现Options Forbidden 403问题解决方法
08-28
Spring Cloud出现Options Forbidden 403问题解决方法 Spring Cloud出现Options Forbidden 403问题解决方法 在使用Spring Cloud进行开发过程中,可能会遇到OPTIONS请求Forbidden的问题,这是由于CORS(Cross-Origin...
Nginx 出现 403 Forbidden 最终解决方法
09-30
给大家介绍了Nginx 出现 403 Forbidden 最终解决方法,下面分步骤给大家介绍的非常详细,感兴趣的的朋友一起看看吧
Nginx解决403 forbidden的完整步骤
09-29
主要给大家介绍了关于Nginx解决403 forbidden的完整步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
如何使用SpringSecurity保护程序安全
08-25
异常处理默认情况下,SpringSecurity会处理403(Forbidden)、401(Unauthorized)和404(Not Found)错误。如果你想自定义这些错误页面,可以这样做:http.exceptionHandling() .accessDeniedPage("/access-denied...
spring security 参考手册中文版
02-01
18.4使用Spring Security CSRF保护 143 18.4.1使用适当的HTTP动词 144 18.4.2配置CSRF保护 144 18.4.3包含CSRF令牌 145 表单提交 145 Ajax和JSON请求 145 CookieCsrfTokenRepository 146 18.5 CSRF警告 147 18.5.1...
spring security登录后访问接口403
Hunipei的博客
03-07 1271
spring security SecurityConfig anonymous() permitAll()
SpringSecurity登录遇到的空指针和403问题以及swagger3放行
jixu8的博客
09-19 683
SpringSecurity登录遇到的空指针和403问题
spring-security出现403错误的情况以及解决方案
热门推荐
w135799的博客
09-27 1万+
第一种配置文件与java代码中设置权限不同导致 出现原因: 上面两张途中发现使用的权限不同,将两个权限改为相同即可。 第二种是CSRF问题 解决方法:在security的xml文件中加入以下代码即可 <!--用于解决csrf问题403--> <csrf disabled="true"/> ...
spring security返回403 forbidden的踩坑日记
qq_63815371的博客
12-25 1220
我后面改成permitAll()就好了,表示:有没有认证都能访问:登录或未登录都能访问。anonymous()是匿名用户可访问,认证用户不能访问!
浅谈spring security 403机制
weixin_33965305的博客
06-01 723
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
Filter——拦截请求保护页面安全
02-21 1541
一起来看看Filter是怎样为页面安全提供保护的?
整合springsecurity403 forbidden
03-30
如果在整合Spring Security后出现了403 Forbidden错误,可能是因为您没有正确配置访问权限。Spring Security通过配置安全规则来保护您的应用程序,如果您没有正确的权限,它会拒绝访问。 以下是一些可能的原因和解决方法: 1. 您没有正确配置角色和权限。确保您的角色和权限与您的控制器和方法匹配。您可以使用@PreAuthorize和@PostAuthorize注释来定义安全规则。 2. 您没有启用Spring Security。确保您已经在配置中启用了Spring Security,并且您的安全配置正确。 3. 您的请求没有提供正确的凭证。如果您的应用程序需要身份验证,确保您在请求中提供了正确的凭证。 4. 您的请求被拦截了。如果您的请求被拦截,可能是因为您的安全规则不允许您访问该资源。您可以检查您的安全规则并确保它们正确。 总之,403 Forbidden错误通常是由于安全规则不正确或请求未提供正确的凭证引起的。您可以仔细检查您的安全配置并确保它们正确,以避免这些错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值