Spring Security 5.2.2 + Spring Boot 2.2 + Oauth 自动配置:允许一些 uri 并且只保护少数几个:403 错误

【问题标题】:Spring Security 5.2.2 + Spring Boot 2.2 + Oauth Autoconfiguration : Permit some uri and secure only few : 403 ErrorSpring Security 5.2.2 + Spring Boot 2.2 + Oauth 自动配置:允许一些 uri 并且只保护少数几个:403 错误
【发布时间】:2020-08-22 22:03:35
【问题描述】:

我有一个授权服务器和资源服务器。 我已经自动配置了 OAuth 默认实现。不需要代码,只在

中完成了配置 
spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          jwk-set-uri:<auth server configuration url here>

Maven 依赖项

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>
                spring-boot-starter-oauth2-resource-server
            </artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

目前我所有的网址都得到保护。

@PostMapping(path = "/secure/test", consumes = "application/json", produces = "application/json")   
    public @ResponseBody String testService(@RequestBody String name ,@RequestHeader Map<String, String>headers) {
headers.forEach((K,V)->printHeaders(K,V));
}

我希望每个人都可以访问我的以下 uri,

@PostMapping(path = "/test", consumes = "application/json", produces = "application/json")  
    public @ResponseBody String testAuthService(@RequestBody String name ,@RequestHeader Map<String, String>headers) {
headers.forEach((K,V)->printHeaders(K,V));
}

我尝试覆盖以下内容,但在尝试不使用不记名令牌时出现 403 错误

@Configuration
public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) {
        try {
            http
                .authorizeRequests(authorize -> authorize
                    .mvcMatchers("/api/secure/**").authenticated()
                    .anyRequest().permitAll()
                )
                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt);
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
    }
}

错误响应

{
    "timestamp": "2020-05-07T14:28:22.729+0000",
    "status": 403,
    "error": "Forbidden",
    "message": "Forbidden",
    "path": "/api/test"
}

如何仅允许使用 Spring Security 5.2.2 + Spring Boot 2.2 + Oauth Autoconfiguration 对某些 url 进行身份验证

【问题讨论】:

  • 欢迎来到 stackoveflow。参观并获得您的第一个徽章-stackoverflow.com/tour
  • @Deepak 我的回答有用吗?

标签: spring-security spring-security-oauth2


【解决方案1】:

如果您在执行 POST 时收到 403,您可能忘记提供 crsrf-token

在 Java 配置中默认启用 CSRF 保护,但您可以禁用它。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
      .csrf().disable()                 // <--- disable CSRF 
      .authorizeRequests(...
      ....

或者在您的表单中提供一个令牌。

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

如果您使用的是 JSON,则不能将 CSRF 令牌作为参数提交。 而是在标头中提交令牌。

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

JS 附加标题。

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

$(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
});

【讨论】:

    猜你喜欢
    • 2018-01-03
    • 2014-06-18
    • 2015-07-22
    • 2019-09-16
    • 2017-01-06
    • 2019-02-18
    • 1970-01-01
    • 2017-11-11
    • 2014-07-25
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode