【发布时间】:2018-12-12 11:57:12
【问题描述】:
我有一个使用 Spring Security 进行身份验证的应用程序。之前我们使用的是 spring security 3.2.10,现在尝试升级到 4.2.6。 从 spring 4 开始,CSRF 保护默认开启。
我正在关注迁移指南 - https://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-xml.html
当我刚刚更改了命名空间并替换了安全 jar 并尝试从登录页面登录时,它为“/j_spring_security_check”给出了 404 错误。
根据指南,我将表单登录操作更改为“/login”而不是“/j_spring_security_check”。还将用户名和密码参数更改为“用户名”和“密码”,而不是登录页面中定义的“j_username”和“j_password”。
<form action="/login" method="POST">
在这些更改之后,我收到带有 403 状态代码的 CSRF 令牌相关错误-
Type Status Report
Message Could not verify the provided CSRF token because your session was
not found.
Description The server understood the request but refuses to authorize it.
我通过在 spring 安全配置文件中添加以下内容来禁用 CSRF 保护 -
<security:http disable-url-rewriting="true" use-expressions="true">
<security:csrf disabled="true"/>
..
<security:intercept-url pattern="/login.jsp"
access="hasRole('ROLE_ANONYMOUS')"/>
<security:form-login login-page="/login.jsp"
authentication-failure-url="/login.jsp?
login_error=1"
default-target-url="/index.html" authentication-
success-handler-ref="successHandler" always-use-default-
target="true"/>
<security:logout logout-success-url="/login.jsp"/>
但这仍然不起作用,并给我与 CSRF 相关的 403 状态错误 -
Type Status Report
Message Could not verify the provided CSRF token because your session was
not found.
Description The server understood the request but refuses to authorize it.
我有什么遗漏吗?
【问题讨论】:
-
尝试省略
security:部分。只做这个:<csrf disabled="true"/>。如果这不起作用,请告诉我你的命名空间 -
它没有用。我的命名空间看起来像这样
springframework.org/schema/beans" xmlns:xsi="w3.org/2001/XMLSchema-instance" xmlns:security="springframework.org/schema/security" xsi:schemaLocation= "springframework.org/schema/beans springframework.org/schema/beans/spring-beans-4.2.xsd springframework.org/schema/security springframework.org/schema/security/spring-security-4.2.xsd" > -
我尝试运行不会修改 GET 等资源状态的 API。这些工作正常。但是在登录到应用程序时,它会触发 POST api。这些 api 失败了。
标签: java spring spring-security csrf