那些遇到过的问题

Spring Boot 3.0 + Security 6 +WebFlux 导致 Postman 中“找不到预期的 CSRF 令牌”

Eri*_*cau 7 csrf spring-security spring-boot

以下SecurityWebFilterChain在 Spring Boot 2.7.x 中工作得很好,但在 Spring Boot 3.0.0 中不再工作。在Postman中调用REST API时,它只是显示“无法找到预期的CSRF令牌”。请您教我如何解决它?

@Bean
public SecurityWebFilterChain securitygWebFilterChain(ServerHttpSecurity http) {
    
    
    http
            .cors().disable()               
            .csrf().disable()
            
            .exceptionHandling()
            .authenticationEntryPoint((swe, e) -> 
                Mono.fromRunnable(() -> swe.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED))
            ).accessDeniedHandler((swe, e) -> 
                Mono.fromRunnable(() -> swe.getResponse().setStatusCode(HttpStatus.FORBIDDEN))
            )
            .and()
            .authenticationManager(authenticationManager)
            .securityContextRepository(securityContextRepository)
            .authorizeExchange(exchange -> exchange                                     
                    .pathMatchers(HttpMethod.OPTIONS).permitAll()
                    .pathMatchers("/login", "/register").permitAll()                        
                    .anyExchange().authenticated()
                    .and()
                    .cors().disable()
                    .csrf().disable()
            )
            .formLogin().disable()
            .httpBasic().disable()   
            ;
            
    return http.csrf(csrf -> csrf.disable()).build();
}
Run Code Online (Sandbox Code Playgroud)

邮递员屏幕截图

Jür*_*hen 12

我今天将 webflux 应用程序迁移到 Spring Boot 3.0.0 时遇到了同样的症状,它与 2.7.5 完美配合。所以我在谷歌上搜索“csrf-disabling不再起作用”并发现了这个和其他一些帖子......

然而,就我而言,是 Spring security 6 的注释更改导致了问题: @EnableWebFluxSecurity 在 5.x 版本中包含“@Configuration”(我检查过) - 但显然不再包含,必须显式添加。

因此,迁移后找不到完整的 SecurityWebFilterChain bean...现在工作代码如下所示:

@EnableWebFluxSecurity
@Configuration       // <- this was integrated in @EnableWebFluxSecurity with Spring Security 5.x
public class AccountWebSecurityConfig { 

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,  
                                                            ReactiveAuthenticationManager authenticationManager,
                                                            ServerAccessDeniedHandler accessDeniedHandler,
                                                            ServerAuthenticationEntryPoint authenticationEntryPoint) {
    http.csrf().disable()
        .httpBasic(httpBasicSpec -> httpBasicSpec
                .authenticationManager(authenticationManager)
                // when moving next line to exceptionHandlingSpecs, get empty body 401 for authentication failures (e.g. Invalid Credentials)
                .authenticationEntryPoint(authenticationEntryPoint)
        )
        .authorizeExchange()
        //...
}
Run Code Online (Sandbox Code Playgroud)

由于您的 FilterChain - 代码片段没有在您的类中显示注释,因此您可能还缺少 @Configuration

就我而言,现在一切都像以前一样工作:-)

Min*_*rần 0

你可以尝试一下

https://docs.spring.io/spring-security/reference/servlet/oauth2/resource-server/jwt.html

应用程序.yml

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://idp.example.com/issuer
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

6146 次

最近记录:

3 年,1 月 前
相关归档
使用Spring Security在@Secured注释中是否允许多个角色 22
将Spring Boot指标暴露给flowxDB以实现grafana可视化 10
Symfony 2 - 删除表单和CSRF令牌 8
如何在Camel路由中使用上下文路径? 7
Spring Boot Actuator相当打印JSON 6
将spring-boot中的过滤器应用于特定url模式的注释 5
保护旧的 Web 应用程序免受 CSRF 的攻击,而无需在所有表单中添加隐藏输入 5
sails.js启用csrf进行浏览器访问,并禁用csrf进行本机应用访问 5
如何在春季oauth2 OAuth2AccessToken请求上设置代理,或者如何覆盖OAuth2AccessTokenSupport restTemplate变量? 5
Spring Security 重定向到登录表单而不是返回状态 401 5
难疑归档
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
如何格式化Microsoft JSON日期? 1954
什么是C ??!??!操作员呢? 1911
图像处理:"可口可乐罐"识别的算法改进 1585
PowerShell说"在这个系统上禁用了脚本的执行." 1545
如何强制使用favicon刷新? 1499
如何垂直对齐div内的图像? 1371
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
UTF-8一路走来 1146
我必须在何处以及为何要使用"模板"和"typename"关键字? 1061