在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity,但是在使用的过程中发现一个问题,就是get请求可以正常访问,而post的请求却无法访问。
再三检查了对url路径权限的匹配,都没有问题。上篇文章中对应的SecurityConfig配置如下:
@EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .permitAll(); } }
api的post请求返回结果信息如下:
{ "timestamp": "2020-03-24T12:44:12.782+0000", "status": 403, "error": "Forbidden", "message": "Forbidden", "path": "/api/check" }
也就是说由于权限问题导致请求失败,返回403错误。
针对这个问题,最主要的原因是:SpringSecrity默认开启CSRF保护。
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。
可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
那么如何解决呢?方案有两种:
方案一:简单直接,禁用CSRF。修改之后的代码如下:
@EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable(); http.authorizeRequests() .antMatchers("/api/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .permitAll(); } }
也就是添加了一行http.csrf().disable();。
方案二:重写CSRF保护策略。示例代码如下:
import org.springframework.security.web.util.matcher.RequestMatcher; import javax.servlet.http.HttpServletRequest; import java.util.ArrayList; import java.util.List; import java.util.regex.Pattern; public class CsrfSecurityRequestMatcher implements RequestMatcher { private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$"); @Override public boolean matches(HttpServletRequest request) { List<String> unExecludeUrls = new ArrayList<>(); //unExecludeUrls.add("/api/test");//(不允许post请求的url路径)此处根据自己的需求做相应的逻辑处理 if (unExecludeUrls != null && unExecludeUrls.size() > 0) { String servletPath = request.getServletPath(); request.getParameter(""); for (String url : unExecludeUrls) { if (servletPath.contains(url)) { return true; } } } return allowedMethods.matcher(request.getMethod()).matches(); } }
经过以上两种方案解决之后,错误也就消失了。
