AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Spring Boot使用Spring Security POST无法访问解决方案

2021-12-26 754
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Spring Boot使用Spring Security POST无法访问解决方案

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity,但是在使用的过程中发现一个问题,就是get请求可以正常访问,而post的请求却无法访问。


再三检查了对url路径权限的匹配,都没有问题。上篇文章中对应的SecurityConfig配置如下:


@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/api/**").permitAll() 
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .permitAll();
  }
}

api的post请求返回结果信息如下:

{
  "timestamp": "2020-03-24T12:44:12.782+0000",
  "status": 403,
  "error": "Forbidden",
  "message": "Forbidden",
  "path": "/api/check"
}

也就是说由于权限问题导致请求失败,返回403错误。


针对这个问题,最主要的原因是:SpringSecrity默认开启CSRF保护。


CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。


可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。


那么如何解决呢?方案有两种:


方案一:简单直接,禁用CSRF。修改之后的代码如下:


@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
    http.authorizeRequests()
        .antMatchers("/api/**").permitAll() 
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .permitAll();
  }
}

也就是添加了一行http.csrf().disable();。

方案二:重写CSRF保护策略。示例代码如下:

import org.springframework.security.web.util.matcher.RequestMatcher;
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
public class CsrfSecurityRequestMatcher implements RequestMatcher {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//(不允许post请求的url路径)此处根据自己的需求做相应的逻辑处理
        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}

经过以上两种方案解决之后,错误也就消失了。

文章标签:
Java
Spring
安全
API
关键词:
Spring Boot spring
Spring解决方案
Spring访问
Spring Security
Spring Boot访问
longfor5
目录
相关文章
一位隐者
|
1月前
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
一位隐者
245 5
喜欢猪猪
|
1月前
|
XML 安全 Java
深度探索Spring Context:框架式的Bean访问与企业级功能
【12月更文挑战第1天】
喜欢猪猪
49 1
Harry技术
|
6天前
|
存储 安全 Java
Spring Boot 3 集成Spring AOP实现系统日志记录
本文介绍了如何在Spring Boot 3中集成Spring AOP实现系统日志记录功能。通过定义`SysLog`注解和配置相应的AOP切面,可以在方法执行前后自动记录日志信息,包括操作的开始时间、结束时间、请求参数、返回结果、异常信息等,并将这些信息保存到数据库中。此外,还使用了`ThreadLocal`变量来存储每个线程独立的日志数据,确保线程安全。文中还展示了项目实战中的部分代码片段,以及基于Spring Boot 3 + Vue 3构建的快速开发框架的简介与内置功能列表。此框架结合了当前主流技术栈,提供了用户管理、权限控制、接口文档自动生成等多项实用特性。
Harry技术
36 8
三三是该溜子
|
19天前
|
缓存 前端开发 Java
【Spring】——SpringBoot项目创建
SpringBoot项目创建,SpringBootApplication启动类,target文件,web服务器,tomcat,访问服务器
三三是该溜子
81 4
一位隐者
|
2月前
|
监控 Java 数据库连接
详解Spring Batch:在Spring Boot中实现高效批处理
详解Spring Batch:在Spring Boot中实现高效批处理
一位隐者
278 12
一位隐者
|
2月前
|
安全 Java 测试技术
详解Spring Profiles:在Spring Boot中实现环境配置管理
详解Spring Profiles:在Spring Boot中实现环境配置管理
一位隐者
111 10
wljslmz
|
1月前
|
负载均衡 Java 开发者
深入探索Spring Cloud与Spring Boot:构建微服务架构的实践经验
深入探索Spring Cloud与Spring Boot:构建微服务架构的实践经验
wljslmz
154 5
nanshaws
|
3月前
|
安全 Java 关系型数据库
springboot整合springsecurity,从数据库中认证
本文介绍了如何在SpringBoot应用中整合Spring Security,并从数据库中进行用户认证的完整步骤,包括依赖配置、数据库表创建、用户实体和仓库接口、用户详情服务类、安全配置类、控制器类以及数据库初始化器的实现。
nanshaws
265 3
springboot整合springsecurity,从数据库中认证
nanshaws
|
3月前
|
监控 Java 应用服务中间件
Spring和Spring Boot的区别
Spring和Spring Boot的主要区别,包括项目配置、开发模式、项目依赖、内嵌服务器和监控管理等方面,强调Spring Boot基于Spring框架,通过约定优于配置、自动配置和快速启动器等特性,简化了Spring应用的开发和部署过程。
nanshaws
88 19
java冯坚持
|
3月前
|
Java 测试技术 开发者
springboot学习四:Spring Boot profile多环境配置、devtools热部署
这篇文章主要介绍了如何在Spring Boot中进行多环境配置以及如何整合DevTools实现热部署,以提高开发效率。
java冯坚持
122 2

热门文章

最新文章

  • 1
    SpringBoot入门到精通(二十一)如何优雅的设计 RESTful API 接口版本号,实现 API 版本控制!
  • 2
    Java:SpringBoot给Controller添加统一路由前缀
  • 3
    Intellij IDEA SpringBoot项目热部署解决方案
  • 4
    SpringBoot 集成cas5.3 实现客户端接入cas认证中心
  • 5
    Netty(一) SpringBoot 整合长连接心跳机制(上)
  • 6
    如何在SpringBoot中实现邮件的发送? | 带你读《SpringBoot实战教程》之二十五
  • 7
    springboot整合spring Cache(redis)
  • 8
    SpringBoot整合RabbitMQ实现消息的发送与接收,确认消息,延时消息
  • 9
    Spring Boot 项目 WEB-INF 下 jsp 无法访问,踩坑
  • 10
    SpringBoot上传文件到远程服务器(二十九)中
  • 1
    Spring高手之路18——从XML配置角度理解Spring AOP
    110
  • 2
    Spring Boot中一般如何使用线程池?
    806
  • 3
    Spring Boot 源码面试知识点
    106
  • 4
    【MongoDB 专栏】MongoDB 与 Spring Boot 的集成实践
    269
  • 5
    深入探索Spring Boot Web应用源码及实战应用
    119
  • 6
    ruoyi-nbcio从spring2.7.18升级springboot到3.1.7,java从java8升级到17(二)
    382
  • 7
    springboot全局自定义异常
    48
  • 8
    RabbitMQ的springboot项目集成使用-01
    153
  • 9
    什么是Spring Boot 自动配置?
    64
  • 10
    Spring cloud原理详解
    84

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第二阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • Spring-cloud-bus-rocketmq入门与实践
  • Spring-cloud-stream-binder-rocketmq入门与实践
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    DataWorks智能交互式数据开发与分析之旅