Spring Boot使用Spring Security POST无法访问解决方案

最新推荐文章于 2024-03-27 16:29:21 发布
最新推荐文章于 2024-03-27 16:29:21 发布
阅读量5.8k 收藏 6
点赞数 6
分类专栏: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wo541075754/article/details/105080604
版权

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity,但是在使用的过程中发现一个问题,就是get请求可以正常访问,而post的请求却无法访问。

再三检查了对url路径权限的匹配,都没有问题。上篇文章中对应的SecurityConfig配置如下:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

api的post请求返回结果信息如下:

{
  "timestamp": "2020-03-24T12:44:12.782+0000",
  "status": 403,
  "error": "Forbidden",
  "message": "Forbidden",
  "path": "/api/check"
}

也就是说由于权限问题导致请求失败,返回403错误。

针对这个问题,最主要的原因是:SpringSecrity默认开启CSRF保护。

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。

可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

那么如何解决呢?方案有两种:

方案一:简单直接,禁用CSRF。修改之后的代码如下:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.csrf().disable();
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

也就是添加了一行http.csrf().disable();。

方案二:重写CSRF保护策略。示例代码如下:

import org.springframework.security.web.util.matcher.RequestMatcher;
 
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
 
public class CsrfSecurityRequestMatcher implements RequestMatcher {
 
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
 
    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//(不允许post请求的url路径)此处根据自己的需求做相应的逻辑处理
 
        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}

经过以上两种方案解决之后,错误也就消失了。
原文链接:《Spring Boot使用Spring Security POST无法访问解决方案

精品SpringBoot 2.x视频教程

《Spring Boot 2.x 视频教程全家桶》,精品Spring Boot 2.x视频教程,打造一套最全的Spring Boot 2.x视频教程。

程序新视界

公众号“程序新视界”,一个让你软实力、硬技术同步提升的平台

csdn-微信公众号

程序新视界
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Boot使用Spring Security遇到的问题
x805111268的博客
11-17 1000
Spring Boot使用Spring Security遇到的问题 定制首页,从数据库中直接取数据校验遇到的一些坑。 首先引入依赖Spring Security的依赖。 1. ajax请求被拦截 ajax请求发送成功,返回错误代码403。 解决方案1: 在html头添加: <meta name="_csrf" th:content="${_csrf.token}"/> <meta name="_csrf_header" th:content="${_csrf.headerName}"
security放行 spirng_Spring security放行post接口失败,CsrfFilter又给拦截了
weixin_33737167的博客
12-29 2790
image403错误都是资源权限的问题,从上述图看到/v3/**所有请求都Ok,所有的get请求也都ok,而不带v3的post请求报出403错误在SpringBoot+springSecurity+Thymeleaf中springSecurity设置拦截规则,他将会对所有http请求以及所有静态资源进行拦截,但是很多时候一些静态资源以及http请求我们并不希望他进行拦截,这时候可以在webSecu...
spring boot整合spring security访问接口无响应
Apricity的博客
12-22 1529
状态: 通过浏览器发送访问请求: localhost:9000/files/download 输入user和密码 密码如果不设置在启动的时候控制台会有 Using generated security password: 75a2959a-522c-4335-830d-d247e7b4743b 会正常访问 解决方式 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Overrid
post请求无法通过spring security过滤
sky2019116的博客
01-19 785
一、问题简述二、问题解决三、完整spring security配置。
SpringSecurity无法访问post请求
m0_64998696的博客
05-08 682
SpringSecurity无法访问post请求
Spring BootSpring Security POST请求403
myli92的博客
05-12 3677
使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
Spring Boot 使用 Spring Security 后无法 POST 提交数据解决方法
热门推荐
Shawearn
05-03 1万+
【问题描述】 项目使用的是 spring-boot + spring-security,页面用了 thymeleaf 模板 页面代码如下: username: password: Submit 登录操作代码: /** * 登录操作; * * @param userName 用户名; * @param password 密码;
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Spring Boot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
06-08
尽可能贴合 Spring Security 的设计 实现注解权限控制 登入: POST 用户名密码到 \login 请求到达 JwtAuthenticationFilter 中的 attemptAuthentication() 方法,获取 request 中的 POST 参数,包装成一个 ...
Spring BootSpring Security应用例子
08-12
通过这个示例,你已经了解了如何使用Spring BootSpring Security来构建一个基础的Web应用程序,实现用户认证和授权。Spring Security提供了强大的安全框架,可以自定义许多方面,包括权限管理、记住我功能、会话...
springboot3.2.4 集成springSecurity后无法发送post请求
最新发布
qq_27039987的博客
03-27 412
集成spring security,接口无法发送post请求
Spring Security开启表单登录后无效
weixin_44306456的博客
07-22 408
Spring Security开启表单登录后点击登录一直重复刷新 在表单中添加method=“post”即可 <form action="login.html" method="post" class="form-signin" role="form"> </form>
Spring SecurityPostman调用时无授权与CSRF验证
锥栗的博客
05-16 1936
Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案
调用Spring Security下接口 get 可以成功,而post失败
u014295903的博客
01-10 3801
调用Spring Security下接口 get 可以成功,而post失败问题描述原因解决方案1.法一1.法二总结 问题描述 调用第三方接口的时候,因为接口是在Spring Security权限项目路下的,所以会出现只有get成功而post失败的情况。 原因 springSecurity会对所有http请求以及所有静态资源进行拦截,一般情况下静态资源以及http请求则不需要进行拦截。 http...
使用 SpringSecurity 发送POST请求出现 403
qq_43985303的博客
01-04 1454
这个时候就有新的问题出现, "/activiti/definition/readResource"已经是允许匿名访问了,但是在登录状态下访问还是会出现403,不登陆就可以正常获取,这个情况比较奇葩,大概理解的就是这个方法是匿名访问的,你登陆就不是匿名了,所以你没有权限访问。进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。在使用 SpringSecurity 时对一些。
SpringSecurity解决POST方式下CSRF问题
weixin_45131680的博客
06-26 422
跨站请求伪造)的发生,限制了除了get以外的大多数方法。表单提交的时候,作为隐藏参数提交。
springboot 使用 SprignSecurity 后无法 POST 提交数据
张先森的博客
01-18 1323
问题描述 在 Springboot使用 SpringSecurity 后会出现使用 POST 无法提交请求的问题,原因是因为 SpringSecurity 为了防止跨域请求伪造,于是拦截了 POST 请求,而使用 GET 请求则不会出现这种问题。于是百度了一下,总结出如下办法解决 POST 无法提交的问题 解决办法 1). 如果是使用表单提交,在表单中添加隐藏域即可。 &lt;...
CSY的BUG——SpringMVC+Tomcat+IDEA——参数HttpServletRequest找不到
CSY的博客
12-05 623
今天使用idea写SpringMVC,环境部署在tomcat上,从Controller往前台传值的时候遇到一个问题,参数HttpServletRequest找不到,如图 解决方案: 第一步:打开Project Structure… 第二步:点击Liabrary 第三步:添加tomcat的Liabrary 第四步点击ok即可 ...
springboot整合springSecurity出现的问题,post,delete,put无法使用
sugar-foxs
06-19 3009
springbootSpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过。 其他方法请求时,需要有token 解决方法: 1,支持post方法:       1,如果使用freemarker模板       在form里添加       2,使用ajax时        $.ajax({
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序新视界

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值