使用Spring Security出现spring security Could not verify the provided CSRF token 异常

最新推荐文章于 2023-08-07 11:27:04 发布
最新推荐文章于 2023-08-07 11:27:04 发布
阅读量6.7k 收藏
点赞数 1

异常:Could not verify the provided CSRF token because your session was not found.

 

本项目是SpringBoot项目,模板引擎是thymeleaf

pom文件中 主要依赖为:

 

 

  1. <parent>

  2. <groupId>org.springframework.boot</groupId>

  3. <artifactId>spring-boot-starter-parent</artifactId>

  4. <version>1.5.9.RELEASE</version>

  5. <relativePath/> <!-- lookup parent from repository -->

  6. </parent>

  7.  

  8. <properties>

  9. <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

  10. <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>

  11. <java.version>1.8</java.version>

  12. </properties>

  13.  

  14. <dependencies>

  15. <dependency>

  16. <groupId>org.springframework.boot</groupId>

  17. <artifactId>spring-boot-starter-data-jpa</artifactId>

  18. </dependency>

  19. <dependency>

  20. <groupId>org.springframework.boot</groupId>

  21. <artifactId>spring-boot-starter-data-redis</artifactId>

  22. </dependency>

  23. <dependency>

  24. <groupId>org.springframework.boot</groupId>

  25. <artifactId>spring-boot-starter-thymeleaf</artifactId>

  26. </dependency>

  27. <dependency>

  28. <groupId>org.springframework.boot</groupId>

  29. <artifactId>spring-boot-starter-web</artifactId>

  30. </dependency>

  31.  

  32. <!--security-->

  33. <dependency>

  34. <groupId>org.springframework.boot</groupId>

  35. <artifactId>spring-boot-starter-security</artifactId>

  36. </dependency>

  37.  

  38. <!-- 模板引擎-->

  39. <dependency>

  40. <groupId>org.springframework.boot</groupId>

  41. <artifactId>spring-boot-starter-thymeleaf</artifactId>

  42. </dependency>

  43.  

  44. <dependency>

  45. <groupId>mysql</groupId>

  46. <artifactId>mysql-connector-java</artifactId>

  47. <scope>runtime</scope>

  48. </dependency>

  49. <dependency>

  50. <groupId>org.projectlombok</groupId>

  51. <artifactId>lombok</artifactId>

  52. <optional>true</optional>

  53. </dependency>

  54. <dependency>

  55. <groupId>org.springframework.boot</groupId>

  56. <artifactId>spring-boot-starter-test</artifactId>

  57. <scope>test</scope>

  58. </dependency>

  59.  

  60. </dependencies>

 

 

原因:

Spring Security4默认是开启CSRF的,所以需要请求中包含CSRF的token信息,在其官方文档(参考资料1)中,提供了在form中嵌入一个hidden标签来获取token信息,其原理是,hidden标签使用了Spring Security4提供的标签,即${_csrf.parameterName}、${_csrf.token}, 后台页面渲染过程中,将此标签解所对应的值解析出来,这样,我们的form表单,就嵌入了Spring Security的所需的token信息,在后续的提交登录请求时,就不会出现没有CSRF token的异常。

另外,还有一个解决办法是,通过关闭CSRF来解决,这个几乎在任何场景中都能解决这个问题(上面这个解决方案,可能在某些渲染模板不能解析出来token值,不过可以通过后台程序来获取token值,然后自己定义变量来渲染到form中,这个也是可以的)。具体的做法是通过修改配置文件来关闭,我这里使用的是SpringBoot开发的项目,配置文件直接写在配置类中,通过.csrf().disable()来关闭,参考资料见二。不过这种方案,会迎来CSRF攻击,不建议在生产环境中使用,如果系统对外界做了隔离,这样做也是可以的。

 

解决办法:

1、在from表单中加入一个hidden标签,来引用spring security  的csrf token。

 

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

 

如果是jsp做模板引擎,则可以使用:

 

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

2、通过关闭csrf来解决:

 

 

  1. @Configuration

  2. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//1

  3.  

  4. @Bean

  5. UserDetailsService customUserService() { //2

  6. return new UserService();

  7. }

  8.  

  9. // 配置登陆校验,登陆成功后,会保存session

  10. @Override

  11. protected void configure(AuthenticationManagerBuilder auth) throws Exception {

  12. auth.userDetailsService(customUserService()); //3

  13.  

  14. }

  15.  

  16. // 配置默认登陆页面,登陆失败页面

  17. @Override

  18. protected void configure(HttpSecurity http) throws Exception {

  19. http.authorizeRequests()

  20. .anyRequest().authenticated()

  21. .and()

  22. .csrf().disable() //关闭CSRF

  23. .formLogin()

  24. .loginPage("/login")

  25. .failureUrl("/login?error")

  26. .permitAll()

  27. .and()

  28. .logout().permitAll();

  29.  

  30. }

  31.  
  32.  

  33. }

wszhlzjl
关注
SpringSecurity表单认证
程序员劝退师的博客
10-07 423
自定义用户认证逻辑 这篇文章只要是实现web页面登录认证!就是用户通过账号密码登录系统,获得授权! 也就是这中样子的登录!实现起来比较简单,别说网页丑,这是SpringSecurity自己默认的登录界面 简单实现 1.一个登录后访问的请求 @RestController public class TestController { @RequestMapping("/user") public String user(){ return "HelloWorld"; }
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8361
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
spring security 4.2后出现CouldnotverifytheprovidedCSRFtokenbecauseyoursessionwasnotfound
weixin_34055787的博客
01-15 2375
升级到spring security 4.2后,登录不了,出现下面的错误 WARN DefaultHandlerExceptionResolver:361 - Failed to bind request element: org.springframework.web.method.annotation.MethodArgumentTypeMismatchException: Failed t...
spring-security中的csrf防御机制
热门推荐
behurry的专栏
07-27 3万+
什么是csrf
spring boot csrf
小小的博客
03-26 4530
Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback.Sun Mar 26 22:46:00 CST 2017 There was an unexpected error (type=Forbidden, status=403). C
Spring securitycsrf token的认证
On Road ...
02-14 1万+
spring security csrf token 认证
SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)
qq_51553982的博客
07-30 643
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求是来自用户的某个浏览器,但是无法确保这请求是用户授权发送。当前端请求到达后,将请求携带的CSRF令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该HTTP请求。将CSRF放入到cookie中,在清求时获取cookie中的CSRF令牌一并提交即可,其实最直接的实现方式是设置到header中即可,这样是否方便,反正每次令牌都会变化即使你的请求被获取也不会有这样的问题。......
升级到Spring Security 4.2的坑及解决办法
甘焕的博客
05-12 9460
把框架从Spring Security从3升级到4,结果出现了一大堆错误,每一个都是巨坑,几个非常熟悉的问题,花了我几乎一整天的时间,下面一一说来。1. 验证始终无法通过输入正确的用户名与密码,却始终收到这样的异常:org.springframework.security.authentication.BadCredentialsException: Bad credentials at o
SpringSecurity学习笔记(三)——自定义登录界面读取数据库用户以及权限
东天里的冬天
07-01 1072
SpringSecurity学习笔记(一)——入门篇中,在文末我们介绍了SpringSecurity如何使用自定义的登录界面,因为用户和权限都是写死的,所以相对本篇而言,简单很多,本文将介绍如何通过自定义界面来读取数据库中的用户以及相应的权限。 一.login.jsp 注意:这边url和SpringSecurity学习笔记(一)——入门篇中所述的差别很大,这里的url不仅可以为j_s
could not verify config servers were active and reachable before write
雅冰石的专栏
07-21 2583
启动mongos时,config server的配置信息不得使用localhost、127.0.0.1,否则添加其它机器的shard时,会出现错误提示: "can’t use localhost as a shard since all shards need to communicate. either use all shards and configdbs in localhost or
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1766
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
Spring Security4 CSRF 如何关闭CSRF功能
醉陌浮生,乱谜浊
09-17 1万+
什么是CSRFcsrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI……而现在,互联网上的许多站点仍对此毫无防备,以至于安全业
spring security 配置
leoss的博客
07-12 351
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency&gt...
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
SpringBoot2整合SpringSecurity+Swagger3(源码分析四)
m0_37607945的博客
08-01 328
SpringBoot2整合SpringSecurity+Swagger3系列 Spring Securtiy的主要功能是通过Filter来实现的,更准确的说,是通过过滤器名称为springSecurityFilterChain的DelegatingFilterProxy来实现的。 Proxy for a standard Servlet Filter, delegating to a Spring-managed bean that implements the Filter interface. S.
Spring Security 6如何集成验证码?
最新发布
06-15
Spring Security 6提供了强大的身份验证和授权功能,但集成验证码通常是为了增强安全性,防止恶意机器人的自动化登录尝试。在Spring Security中集成验证码可以通过以下步骤进行: 1. 添加依赖:首先,你需要在你的项目中添加验证码库,如Apache Commons Codec或Google Charts。Spring Security本身并不包含验证码功能,所以需要外部库支持。 ```xml <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> </dependency> <dependency> <groupId>com.google.code.kaptcha</groupId> <artifactId>kaptcha</artifactId> </dependency> ``` 2. 配置Kaptcha组件:配置Kaptcha的bean,设置验证码生成器、存储策略和拦截器。 ```java @Bean public KaptchaService kaptchaService() { KaptchaService kaptcha = new DefaultKaptcha(); kaptcha.setUrlBase("http://your-domain.com/kaptcha"); // 验证码图片URL前缀 kaptcha.setConfig(new KaptchaConfig()); return kaptcha; } @Bean public CaptchaFilter captchaFilter(KaptchaService kaptchaService) { CaptchaFilter captchaFilter = new CaptchaFilter(kaptchaService); captchaFilter.setUsernameAttribute("username"); // 用户名字段 return captchaFilter; } ``` 3. 配置SecurityWebApplicationInitializer:确保验证码拦截器在Spring Security的过滤链中正确放置。这通常在`configure(HttpSecurity http)`方法中完成。 ```java http .formLogin() .and() .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class); // 在用户名密码认证之前添加验证码过滤器 ``` 4. 更新登录表单:在前端HTML模板中,添加用于显示验证码和接收输入的表单元素。使用`<kaptcha:html>`标签展示验证码图片。 5. 处理验证码:在处理用户登录请求的后端控制器方法中,检查提交的验证码是否正确。 ```java @PostMapping("/login") public String login(@RequestParam String username, @RequestParam String password, @RequestParam String captcha) { if (!kaptchaService.verify(captcha)) { return "redirect:/login?error=invalid-captcha"; // 验证码错误重定向 } // ...继续验证密码和其他信息 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值