San*_*cho 1 java spring spring-security spring-boot spring-webflux
我有一个由 Spring Security 保护的 Webflux 应用程序,其中默认启用 CSRF 保护。但是,我无法获取要保存在会话中的 CSRF 令牌。
经过一番调查,我注意到它可能来自WebSessionServerCsrfTokenRepository.class. 在这个类中,有一个generateToken方法应该从生成的 CSRF 令牌创建一个 Mono:
public Mono<CsrfToken> generateToken(ServerWebExchange exchange) {
return Mono.fromCallable(() -> {
return this.createCsrfToken();
});
}
private CsrfToken createCsrfToken() {
return new DefaultCsrfToken(this.headerName, this.parameterName, this.createNewToken());
}
private String createNewToken() {
return UUID.randomUUID().toString();
}
但是,即使该generateToken方法被 调用CsrfWebFilter,该createCsrfToken方法也永远不会被调用,并且我永远不会在会话中获取要保存的 CSRF 令牌。我的断点永远不会进入该createCsrfToken方法,这可能意味着它永远不会被订阅。
我正在Netty使用 Spring Boot2.1.0.RELEASE和 Spring Security 5.1.1.RELEASE。
我在一个仅包含以下依赖项的空示例应用程序上重现了该问题:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-webflux</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
我是否遗漏了什么或 Spring Security 有问题?
更新
经过进一步调查,我认为问题出在Spring Security中的这个方法上CsrfWebFilter.class:
private Mono<Void> continueFilterChain(ServerWebExchange exchange, WebFilterChain chain) {
return Mono.defer(() -> {
Mono<CsrfToken> csrfToken = this.csrfToken(exchange);
exchange.getAttributes().put(CsrfToken.class.getName(), csrfToken);
return chain.filter(exchange);
});
}
在这里,csrfTokenMono 永远不会被订阅。当我以这种方式重写过滤器时,我设法在会话中添加了令牌:
private Mono<Void> continueFilterChain(ServerWebExchange exchange, WebFilterChain chain) {
return Mono.defer(() -> {
return this.csrfToken(exchange)
.map(csrfToken -> exchange.getAttributes().put(CsrfToken.class.getName(), csrfToken))
.then(chain.filter(exchange));
});
}
但是,该_csrf参数从未添加到我的 Thymeleaf 模型中,因此以下测试不起作用:
<form name="test-csrf" action="/test" method="post">
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
<button type="submit">Escape!</button>
</form>
如果有人遇到这个问题,我与 Spring Team 的某个人进行了讨论。
它实际上并不打算csrfToken直接订阅Mono 只在需要时才这样做。在应用程序中触发订阅是开发人员的责任,有两种方法可以做到。
方法一:显式订阅。
提供通过订阅@ModelAttribute在一些@ControllerAdvice或抽象控制器类:
@ModelAttribute(CsrfRequestDataValueProcessor.DEFAULT_CSRF_ATTR_NAME)
public Mono<CsrfToken> getCsrfToken(final ServerWebExchange exchange) {
return exchange.getAttributeOrDefault(CsrfToken.class.getName(), Mono.empty());
}
方法二:使用 Thymeleaf 自动处理 CSRF。
确保您的 POM 中具有以下依赖项以使用 Thymeleaf 和 Spring Security:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
这将自动将 CSRF 令牌添加到您的模型中,并通过表单隐藏输入传递它(仍然需要将其添加到 POST Ajax 请求的标头中)。
有关更多信息,这是我在 Spring 打开的问题:https : //github.com/spring-projects/spring-security/issues/6046
| 归档时间: |
|
| 查看次数: |
1956 次 |
| 最近记录: |