解决SpringBoot中SpringSecurity因CSRF导致POST请求403-开发者社区-阿里云

Spring Boot使用Spring Security POST无法访问解决方案

2021-12-26 1049

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： Spring Boot使用Spring Security POST无法访问解决方案

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity，但是在使用的过程中发现一个问题，就是get请求可以正常访问，而post的请求却无法访问。

再三检查了对url路径权限的匹配，都没有问题。上篇文章中对应的SecurityConfig配置如下：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/api/**").permitAll() 
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .permitAll();
  }
}

api的post请求返回结果信息如下：

{
  "timestamp": "2020-03-24T12:44:12.782+0000",
  "status": 403,
  "error": "Forbidden",
  "message": "Forbidden",
  "path": "/api/check"
}

也就是说由于权限问题导致请求失败，返回403错误。

针对这个问题，最主要的原因是：SpringSecrity默认开启CSRF保护。

CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式。

可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。

那么如何解决呢？方案有两种：

方案一：简单直接，禁用CSRF。修改之后的代码如下：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
    http.authorizeRequests()
        .antMatchers("/api/**").permitAll() 
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .permitAll();
  }
}

也就是添加了一行http.csrf().disable();。

方案二：重写CSRF保护策略。示例代码如下：

import org.springframework.security.web.util.matcher.RequestMatcher;
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
public class CsrfSecurityRequestMatcher implements RequestMatcher {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//（不允许post请求的url路径）此处根据自己的需求做相应的逻辑处理
        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}

经过以上两种方案解决之后，错误也就消失了。

Spring Boot使用Spring Security POST无法访问解决方案

热门文章

最新文章

相关课程

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

Spring Boot使用Spring Security POST无法访问解决方案

热门文章

最新文章

相关课程

相关电子书