SpringSecurity的csrf跨域案例

最新推荐文章于 2023-07-14 13:46:14 发布
最新推荐文章于 2023-07-14 13:46:14 发布
阅读量352 收藏
点赞数
分类专栏: # SpringSecurity 文章标签: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46300935/article/details/114297235
版权

一:CSRF的说明

       跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个 自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买 商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。 这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的 浏览器,却不能保证请求本身是用户自愿发出的。 从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用 程序,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。

二:SpringSecurity实现CSRF的原理

1.生成 csrfToken 保存到 HttpSession 或者 Cookie 中。

/**
 * Provides the information about an expected CSRF token.
 *
 * @author Rob Winch
 * @since 3.2
 * @see DefaultCsrfToken
 */
public interface CsrfToken extends Serializable {

	/**
	 * Gets the HTTP header that the CSRF is populated on the response and can be placed
	 * on requests instead of the parameter. Cannot be null.
	 * @return the HTTP header that the CSRF is populated on the response and can be
	 * placed on requests instead of the parameter
	 */
	String getHeaderName();

	/**
	 * Gets the HTTP parameter name that should contain the token. Cannot be null.
	 * @return the HTTP parameter name that should contain the token.
	 */
	String getParameterName();

	/**
	 * Gets the token value. Cannot be null.
	 * @return the token value
	 */
	String getToken();

}

 2.在其实现类,有一个类有一个接口如下:

3.此接口实现三个类,分别处理对应的场景,HTTP请求,Cookie,以及一些特定场景的实现,例如lazy等:

这个接口有两个方法是重点,一个是生成token,一个是保存token,在创建token都有一个方法,名为:

	private String createNewToken() {
		return UUID.randomUUID().toString();
	}

请求到来时,从请求中提取 csrfToken,和保存的 csrfToken 做比较,进而判断当 前请求是否合法。主要通过 CsrfFilter 过滤器来完成。

3.CsrfFilter的解析

两个值,一个为token的参数名,一个为token的值。

二.结合案列对csrf的实例展示:

1.首先贴上对应的POI依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-devtools</artifactId>
    <scope>runtime</scope>
    <optional>true</optional>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-configuration-processor</artifactId>
    <optional>true</optional>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>
    <scope>test</scope>
</dependency>

<!--对Thymeleaf添加Spring Security标签支持-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid-spring-boot-starter</artifactId>
    <version>1.1.14</version>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.2</version>
</dependency>

2.对应的配置文件

spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/demo?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=UTC
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver
    #    druid数据库连接池配置
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      initial-size: 20  # 初始化数据连接池大小
      min-idle: 10     # 空闲数
      max-active: 100   #最大连接数


#配置Mybatis的相关属性
mybatis:
  mapper-locations: classpath:mapper/*.xml #指定mapper XML文件的位置
  #type-aliases-package: com.zsc.mybatis_demo.domain  #指定实体类的别名的映射路径

  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl  #打印输出SQL语句
    map-underscore-to-camel-case: true   # 启动驼峰式转换
    use-generated-keys: true      #开启自增组件
#debug: true

3.主要的实现配置类等

 3.1SecurityConfig


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import javax.annotation.Resource;
import javax.sql.DataSource;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    UserDetailsService userDetailsService;

    //实现用户身份认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置url的访问权限
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/**update**").permitAll()
                .antMatchers("/login/**").permitAll()
                .anyRequest().authenticated();

        //关闭csrf保护功能
        http.csrf().disable();
//       
        //使用自定义的登录窗口
      http.formLogin()
              .loginPage("/userLogin").permitAll()
              .usernameParameter("username").passwordParameter("password")
              .defaultSuccessUrl("/")
              .failureUrl("/userLogin?error");
    }
}

3.2SpringSecurity中UserDetailsService的实现

import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

            List<SimpleGrantedAuthority> list = new ArrayList<>();
            list.add(new SimpleGrantedAuthority("role"));
            UserDetails userDetails = new User("lucy", new BCryptPasswordEncoder().encode("123")
                    , list);
            return userDetails;
    }
}

在测试成功之后结果为:

 

Volunteer Technology
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2194
Springboot +spring security,解决问题
Spring Boot与Spring Security的解决方案
2301_77899321的博客
09-25 1193
Spring Boot与Spring Security的解决方案。
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java csrf _spring-security中的csrf防御机制(请求伪造)
weixin_34237941的博客
02-23 181
packagecom.wangzhixuan.commons.csrf;importjava.util.UUID;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importjavax.servlet.http.HttpSession;importcom.wangzhi...
spring-security中的csrf防御机制(请求伪造)
weixin_33965305的博客
12-13 234
什么是csrfcsrf又称请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
Spring Boot 整合 Security 权限控制 - 第004章 - 解决 Security
热门推荐
qianmoQ - 关注云计算,关注大数据
03-28 4万+
视频课程地址: Spring Boot 整合 Security 权限控制 修改 pom 文件, 使其支持 jdk1.8 &lt;plugin.compiler.version&gt;2.0.2&lt;/plugin.compiler.version&gt; &lt;!-- 设置 java sdk 版本 --&gt; &lt;plugin&gt; &lt;groupId&gt...
spring security中的csrf防御原理(请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
使用Spring Boot 解决问题
果酱 の 博客
07-14 3618
问题是由浏览器的同源策略引起的。同源策略要求浏览器只能向同一名下的服务器发送请求,而不能向其他名下的服务器发送请求。同源策略的目的是保护用户的隐私和安全。例如,一个在名下加载的页面,不能直接向名下的服务器发送请求。本文介绍了使用Spring Boot解决问题的三种方法:使用CORS、使用Spring Security和使用代理服务器。
Spring Boot 配置访问CORS
IceStreamLab
04-28 480
Spring Boot 配置 CORS SpringBoot 2.x主要提供了两种方式来支持Cors,如下: @CrossOrigin:默认boolean DEFAULT_ALLOW_CREDENTIALS = false; 方式 作用范围 说明 @CrossOrigin 一个Controller中全部接口或其中一个特定的接口 配置、定制特定的请求接口 实现WebMvcConf...
SpringSecurity - CSRF 防御
TrustNature
10-19 812
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
jwt生成token:An expected CSRF token cannot be found
qq_1801743621的博客
09-30 4485
jwt生成token:An expected CSRF token cannot be found
Spring Security怎么实现的?
BASK2312的博客
01-15 247
如果你的项目使用了服务网关, 比如Spring Gateway 听我的, 问题在服务网关解决, 如果你的项目没有使用服务网关再考虑在Spring Security解决问题好嘛?当然我这句话需要按照你的项目实际情况考虑至于为什么我要这么说, 我就问问你, Spring Security是不是过滤器?那Spring Gateway也是不是过滤器?那谁的过滤器先执行?谁的过滤器后执行?如果 Spring Security添加了cors, 但是被Spring Gateway修改了怎么办?反之又如何?
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9363
本文主要介绍SpringSecurity 和 SpringBoot 整合过程中关于 CSRF 的处理
Security:CSRF
思维小刀
04-28 896
定义 CSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
Expected CSRF token not found. Has your session expired?
And_leayf的博客
10-15 945
突然发生的问题,暂时不知道具体原因。清除浏览器缓存,时间范围大一点。
spring security解决请求
最新发布
06-04
Spring Security 提供了解决请求的方式,其中比较常用的是 CORS(资源共享)机制。CORS 机制通过在服务器端设置响应头来允许访问,具体步骤如下: 1. 在 Spring Security 的配置中添加 cors() 方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值