前言
前段时间倒腾Spring Security
,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security
项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden
,刚开始以为是权限配置错误,仔细检查了N
遍,配置没有错误,但是登录之后接口返回确实是403Forbidden
权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden
,陷入对夜晚深深的思考~
问题发现
确认问题肯定是由Spring Security
引起的,直接开始DEBUG
Spring Security
在web场景的应用核心实现为Bean name为SpringSecurityFilterChain
的这个Bean,Class
为org.springframework.security.web.FilterChainProxy
,SpringSecurityFilterChain中内部维护了一个FilterChain
,默认FilterChain
中会维护如下14个默认的Filter
看到这里本能的看了下CSRF
的拦截器CsrfFilter
,感觉很有可能是CSRF被拦截导致的,直接跳转到org.springframework.security.web.csrf.CsrfFilter#doFilterInternal
方法
CSRFFilter中都做了什么
CSRFFilter#doFilterInternal
CSRFFilter的doFilterInternal方法主要做了如下几件事情
- 从
tokenRepository
中获取token
,默认是从HttpSessionCsrfTokenRepository
即session中获取token - 判断
token
是否为null
,为null
说明第一次请求,自动生成一个,并且设置到session
中 - 判断是否是
csrf
需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS
四种请求方式不校验- 不需要校验,直接执行后续
FIlter
- 需要校验
- 从请求头中获取本次请求携带的
token
,没有则从请求参数中获取token
- 判断从session中获取的
token
和从请求头中获取的token
是否一致token
一致,执行后续Filter
- 不一致
- 两个token都存在,但是校验失败,返回
InvalidCsrfTokenException
- 否则返回
MissingCsrfTokenException
- 上面生成的异常交由
AccessDeniedHandler
处理,最终返回处理的结果异常
- 两个token都存在,但是校验失败,返回
- 从请求头中获取本次请求携带的
- 不需要校验,直接执行后续
org.springframework.security.web.csrf.CsrfFilter#doFilterInternal
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
request.setAttribute(HttpServletResponse.class.getName(), response);
//从session中获取token
CsrfToken csrfToken = this.tokenRepository.loadToken(request);
//token是否为空
boolean missingToken = csrfToken == null;
if (missingToken) {
//自动生成新的token
csrfToken = this.tokenRepository.generateToken(request);
//保存token
this.tokenRepository.saveToken(csrfToken, request, response);
}
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken);
//是否是csrf需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS四种请求方式不校验
if (!this.requireCsrfProtectionMatcher.matches(request)) {
if (this.logger.isTraceEnabled()) {
this.logger.trace("Did not protect against CSRF since request did not match " + this.requireCsrfProtectionMatcher);
}
//执行后续filter
filterChain.doFilter(request, response);
} else {
//否则需要校验,从请求头部获取token
String actualToken = request.getHeader(csrfToken.getHeaderName());
if (actualToken == null) {
//为空则从请求参数中获取
actualToken = request.getParameter(csrfToken.getParameterName());
}
//判断两个token是否相等
if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
this.logger.debug(LogMessage.of(() -> {
return "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request);
}));
//token缺失或者不对应,对应两个异常类型
AccessDeniedException exception = !missingToken ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken);
//交由accessDeniedHandler处理
this.accessDeniedHandler.handle(request, response, (AccessDeniedException)exception);
} else {
//相等继续执行后续Filter
filterChain.doFilter(request, response);
}
}
}
AccessDeniedHandler#handle
org.springframework.security.web.access.AccessDeniedHandlerImpl#handle
- 首先判断response是否已经提交,提交则什么也不做
- 判断异常页面配置是否为
null
,为null
则设置response
的异常码 - 异常页面不为
null
,则设置异常码,并且重定向到异常页面
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
//response是否已经提交
if (response.isCommitted()) {
logger.trace("Did not write to response since already committed");
//异常页面配置是否为null
} else if (this.errorPage == null) {
logger.debug("Responding with 403 status code");
//为null则设置FORBIDDEN错误码
response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
} else {
request.setAttribute("SPRING_SECURITY_403_EXCEPTION", accessDeniedException);
response.setStatus(HttpStatus.FORBIDDEN.value());
if (logger.isDebugEnabled()) {
logger.debug(LogMessage.format("Forwarding to %s with status code 403", this.errorPage));
}
//重定向到error页面
request.getRequestDispatcher(this.errorPage).forward(request, response);
}
}
最终经历DEBUG
后发现问题真凶,没有在POST请求中设置CSRFToken
导致的,在之前的文章中有讲到,WebSecurityConfigurerAdapter
的configure
方法中可以配置csrf
的开关,简单粗暴的办法就是直接禁用掉csrf即可,虽然之前在整理的时候知道,实践的时候确是忘了
贴一下最终的configure
配置
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().csrf().disable();
}
数据正常返回
结语
纸上得来终觉浅,实践出真知,文章稍微水了点,也复习了CSRFFilter的执行过程,各位看官点个赞再走!!