那些遇到过的问题

Spring webflux 与 jwt + csrf 令牌

wth*_*ira 1 csrf spring-security vue.js spring-webflux

我需要对我的后端实施 CSRF 保护。我正在使用以下配置。但应用程序允许没有 CSRF 令牌的 Post 和 Get 请求。

@Slf4j
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {

    @Bean
    SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
                .csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse()))
                .authorizeExchange()
                .anyExchange().authenticated()
                .and().oauth2ResourceServer().jwt();
        return http.build();
    }
}
Run Code Online (Sandbox Code Playgroud)

在 HTTP 请求中包含实际的 CSRF 令牌

 @ControllerAdvice
    public class SecurityControllerAdvice {
        @ModelAttribute
        Mono<CsrfToken> csrfToken(ServerWebExchange exchange) {
            Mono<CsrfToken> csrfToken = exchange.getAttribute(CsrfToken.class.getName());
            return csrfToken.doOnSuccess(token -> {
                exchange.getAttributes()
                        .put(CsrfRequestDataValueProcessor.DEFAULT_CSRF_ATTR_NAME, token);
            });
        }
    }
Run Code Online (Sandbox Code Playgroud)

我尝试使用邮递员的API。但这对我不起作用。

春季版

 <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.3</version>
        <relativePath/>
   </parent>
Run Code Online (Sandbox Code Playgroud)

依赖项:

<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-resource-server</artifactId>
            <version>RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-jose</artifactId>
            <version>RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-webflux</artifactId>
        </dependency>
Run Code Online (Sandbox Code Playgroud)

最终目标:我的前端是Vuejs + nuxtjs。有人可以帮助我找到实现此目的的最佳方法吗?

Mar*_*gio 5

通过使用oauth2ResourceServer()DSL,您告诉Spring Security您没有使用基于cookie的身份验证,因此您不需要CSRF保护。

如果您查看一下,OAuth2ResourceServerConfigurer#registerDefaultCsrfOverride您会发现它不会通过Bearer使用BearerTokenRequestMatcher.

private void registerDefaultCsrfOverride(H http) {
    CsrfConfigurer<H> csrf = http.getConfigurer(CsrfConfigurer.class);
    if (csrf != null) {
        csrf.ignoringRequestMatchers(this.requestMatcher);
    }
}
Run Code Online (Sandbox Code Playgroud)

CSRF 利用自动附加请求 Cookie 的浏览器行为,因此我可以欺骗网站上的用户www.malicioussite.example单击按钮并向www.fakebank.example/transferMoneyToMe.

当您使用Authorization标头发送 JWT 时,浏览器不知道访问令牌,因此不会自动附加标头。

您可以从此答案开始更深入地研究此行为https://security.stackexchange.com/questions/189326/do-i-need-csrf-protection-in-this-setup-with-a-rest-api-支持 oauth2 和 a

归档时间:

查看次数:

1033 次

最近记录:

3 年,9 月 前
相关归档
无法访问组件 nuxt 中的 process.env 变量 13
vue.js 组件需要 name 选项吗? 6
Vue 3 - 访问路由器视图实例以调用子方法 6
Spring Data Rest中的现场安全 5
在 Vue Select 中设置所选值的样式 5
Grails 1.3.5和Spring Security Core 4
每当路由发生变化时如何提交突变以存储 4
如何使用 Composition API 在 Vue.js 3 中使类 getter 响应式? 4
如何在vue.js中动态上传图像? 3
在 Ionic Vue 应用程序中使用选项卡时导航到不同路线的问题 3
难疑归档
如何在Git中克隆所有远程分支? 3987
为什么Android模拟器这么慢?我们如何加快Android模拟器的速度? 3356
如何列出提交中的所有文件? 2619
按字符串属性值对对象数组进行排序 2535
在git中推送提交时,src refspec master与any不匹配 2472
在JavaScript中验证十进制数 - IsNumeric() 2318
如何创建一个像链接一样的HTML按钮? 1769
接口和抽象类之间有什么区别? 1705
在Android上旋转活动重启 1341
有条件地申请课程的最佳方式是什么? 1172