那些遇到过的问题

发布后,Spring Security Access被拒绝403

Luc*_*tas 12 java spring spring-mvc csrf spring-security

我在其他帖子中几乎尝试了所有关于它的事情,没有任何与我的问题有关.

如果我尝试通过GET恢复我的URL(例如:路径/用户/编辑/ 1),一切正常,我被重定向到用户编辑页面,但是如果我尝试通过POST访问此页面,则spring security拒绝我访问到页面.

这两个方法都映射到我的控制器类中.

@RequestMapping(value="/users/edit/{id}", method={RequestMethod.POST,RequestMethod.GET})
public ModelAndView login(ModelAndView model, @PathVariable("id") int id ) {
    model.addObject("user", this.userService.getUserById(id));
    model.setViewName("/users/add"); //add.jsp
    return model;
}
Run Code Online (Sandbox Code Playgroud)

我使用的形式

<f:form method="post" action="/users/edit/${user.id}">
     <button type="submit">Edit</button>
</f:form>
Run Code Online (Sandbox Code Playgroud)

Spring security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">

<!-- enable use-expressions -->
<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/secure**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
    <intercept-url pattern="/secure/users**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />

    <!-- access denied page -->
    <access-denied-handler error-page="/denied" />
    <form-login 
        login-page="/home" 
        default-target-url="/secure" 
        authentication-failure-url="/home?error" 
        username-parameter="inputEmail"
        password-parameter="inputPassword" />
    <logout logout-success-url="/home?logout"  />
    <!-- enable csrf protection -->
    <csrf/>
</http>

<!-- Select users and user_roles from database -->
<authentication-manager>
    <authentication-provider>
        <password-encoder hash="md5" /> 
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query=
            "SELECT login, senha, ativo
               FROM usuarios 
              WHERE login = ?"
            authorities-by-username-query=
            "SELECT u.login, r.role
               FROM usuarios_roles r, usuarios u
              WHERE u.id = r.usuario_id
                AND u.login = ?" />
    </authentication-provider>
</authentication-manager>
Run Code Online (Sandbox Code Playgroud)

iku*_*men 21

我注意到你正在使用csrf保护,它默认保护修改资源的任何HTTP动词(例如PUT,POST,DELETE,......).如果您使用的是Spring的表单标记,则应自动将csrf标记作为隐藏输入包含在表单中.您应该在浏览器中检查源代码以验证csrf令牌是否存在,否则您将需要以下内容:

<input type="hidden"
    name="${_csrf.parameterName}"
    value="${_csrf.token}"/>
Run Code Online (Sandbox Code Playgroud)

您可以在Spring参考中阅读有关csrf保护/配置的更多信息.

归档时间:

查看次数:

14884 次

最近记录:

6 年,7 月 前
相关归档
Java String新行 124
错误:遗憾的是,您不能在一个项目中使用非Gradle Java模块和> Android-Gradle模块 105
如何捕获传递给Groovy脚本的参数? 65
AES/CBC和AES/ECB加密后的数据大小 60
为什么混合+和强制转换不会在"+(int)+(long)-1"中产生错误? 53
将LinkedHashMap转换为复杂对象 51
Spring Boot是否可以使用JAR打包来提供JSP 23
Spring @Value带注释的方法,当属性不可用时使用默认值 10
springboot执行器为执行器端点返回401 5
springSecurityService在基本控制器中为null 4
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
浮点数学是否破碎? 2798
如何从列表中随机选择一个项目? 1656
根据pandas中列的值从DataFrame中选择行 1649
如何在JavaScript中将十进制转换为十六进制? 1387
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何使用jQuery获取元素的ID? 1320
为特定提交生成git补丁 1144
#Hibernate hbm2ddl.auto配置的可能值是什么,它们做了什么 1046
如何在JavaScript中将浮点数转换为整数? 1043