如何在 Spring Security 中启用 POST、PUT 和 DELETE 方法

【问题标题】:How to enable POST, PUT AND DELETE methods in spring security如何在 Spring Security 中启用 POST、PUT 和 DELETE 方法
【发布时间】:2016-11-01 16:17:09
【问题描述】:

我使用 spring boot 开发了一个应用程序,它运行良好。有一个安静的控制器。我试图为某些页面添加弹簧安全性。 其余控制器的端点是

/api/greetings

我在下面的类中配置了安全设置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home","/api/greetings").permitAll()
                //.antMatchers("/api/greetings","").permitAll()//can't do this
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

现在,当我尝试从 Rest 客户端(邮递员)访问 Rest 端点时,只能访问 GET 方法,如果我尝试 POST、PUT 或 DELETE,我会收到 403 Forbidden 响应。

{
    "timestamp": 1467223888525,
    "status": 403,
    "error": "Forbidden",
    "message": "Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.",
    "path": "/api/greetings/2"
}

我该如何解决这个问题。我是 Spring Security 方面的新手。

【问题讨论】:

  • 因为我的是一个非浏览器应用程序,禁用 csrf 不会有什么坏处,它对我有用。我很好奇,如果我不想禁用 csrf 怎么办,或者如果我的应用程序也是 Web 应用程序,我找到了这个链接。虽然没有尝试过,但很快就会尝试。 stackoverflow.com/questions/27182701/…

标签: java rest spring-mvc spring-security spring-boot


【解决方案1】:

更新答案

如果您使用的是 Spring security 4,则可以轻松禁用特定路由

http.csrf().ignoringAntMatchers("/nocsrf","/ignore/startswith/**")

如果没有,您可以使用 requireCsrfProtectionMatcher 在特定路由上启用/禁用 CSRF

http.csrf().requireCsrfProtectionMatcher(new RequestMatcher() {
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    private RegexRequestMatcher apiMatcher = new RegexRequestMatcher("/v[0-9]*/.*", null);

    @Override
    public boolean matches(HttpServletRequest request) {
        // No CSRF due to allowedMethod
        if(allowedMethods.matcher(request.getMethod()).matches())
            return false;

        // No CSRF due to api call
        if(apiMatcher.matches(request))
            return false;

        // CSRF for everything else that is not an API call or an allowedMethod
        return true;
    }
});

原始答案

你得到一个错误,因为 CSRF 处理在 Spring Security 中默认是“开启”的。

您可以通过添加http.csrf().disable(); 来禁用它。

但实际上,您会让您的应用程序不安全吗?我邀请您阅读 this article 以保护您的应用程序免受 CSRF 攻击,即使您的应用程序基于 REST 服务而不是表单提交。

【讨论】:

  • 有没有其他方法,不禁用csrf?
  • 当我使用 http.csrf().disable();它还禁用了所有身份验证。
  • 如果你想使用 CSRF 保护,那么你必须在你的 HTTP POST 请求中添加一个令牌。例如,您可以通过将“隐藏”类型的 html 输入元素添加到 html 表单来执行此操作。您可以从 CsrfTokenRepository 获取令牌。见docs.spring.io/spring-security/site/docs/5.1.5.RELEASE/…
猜你喜欢
  • 2016-09-25
  • 1970-01-01
  • 2019-04-15
  • 2015-05-17
  • 2015-05-08
  • 2017-08-11
  • 1970-01-01
  • 2015-11-08
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode