那些遇到过的问题

Spring Security-基本身份验证

Bak*_*123 2 java spring spring-security basic-authentication spring-boot

我正在尝试使用POST请求插入数据,但出现403错误。使用GET时,基本身份验证有效。为了进行测试,我使用了Fiddler。

有什么问题?

安全配置:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/**").hasRole("USER").and()
                .httpBasic();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth)
            throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user")
                    .password("password")
                    .roles("USER");
    }
}
Run Code Online (Sandbox Code Playgroud)

请求-POST:

User-Agent: Fiddler
Host: localhost:8080
Content-Length: 200
Content-Type: application/json
Authorization: Basic dXNlcjpwYXNzd29yZA==
Run Code Online (Sandbox Code Playgroud)

要求正文:

{"name" : "name1",
"description" : "desc1"}
Run Code Online (Sandbox Code Playgroud)

gyo*_*der 6

可能是CSRF,默认情况下弹簧安全启用。在GET请求中查找X-XSRF-TOKEN标头,然后在POST中使用该标头和值。

在执行此操作之前,请三思而后行,但是您可以通过以下方式禁用csrf: 

http.csrf().disable()
Run Code Online (Sandbox Code Playgroud)

https://docs.spring.io/spring-security/site/docs/current/reference/html/web-app-security.html#csrf

归档时间:

查看次数:

1370 次

最近记录:

6 年,11 月 前
相关归档
在Java变量和方法名称中使用下划线 81
如何在Spring MVC中显式获取post数据? 76
最终未初始化字段的抽象类 47
一个简单的本地SMTP服务器 44
是否可以将OSGi与Spring Data集成? 15
如何防止实体关系的变化? 13
Spring Security删除RoleVoter前缀 7
弹簧启动应用程序显示???字符而不是 unicode 7
Resteasy-Spring:在具有多个运行实例的测试期间加载了错误的应用实例 5
春季启动+ HTML 5视频流 5
难疑归档
JavaScript中使用"严格"做什么,背后的原因是什么? 7339
如何禁用文本选择突出显示? 4937
如何退出Vim编辑器? 3558
如何将Git存储库克隆到特定文件夹中? 2083
如何在Java中声明和初始化数组? 1946
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
为什么我需要一直做`--set-upstream`? 1364
将JavaScript字符串转换为全部小写? 1260
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
自定义HTTP标头:命名约定 1051