我有一个由 Spring Security 保护的 Webflux 应用程序,其中默认启用 CSRF 保护。但是,我无法将 CSRF 令牌保存在会话中。
经过一番调查,我注意到它可能来自WebSessionServerCsrfTokenRepository.class。在这个班级里,有generateToken应该从生成的 CSRF 令牌创建 Mono 的方法:
public Mono<CsrfToken> generateToken(ServerWebExchange exchange) {
return Mono.fromCallable(() -> {
return this.createCsrfToken();
});
}
private CsrfToken createCsrfToken() {
return new DefaultCsrfToken(this.headerName, this.parameterName, this.createNewToken());
}
private String createNewToken() {
return UUID.randomUUID().toString();
}
然而,即使generateToken方法被调用CsrfWebFilter, the createCsrfToken方法从未被调用,并且我从未将 CSRF 令牌保存在会话中。我的断点永远不会进入createCsrfToken方法,这可能意味着它永远不会被订阅。
我正在奔跑Netty带有弹簧引导2.1.0.RELEASE和Spring安全5.1.1.RELEASE.
我在一个仅包含以下依赖项的空示例应用程序上重现了该问题:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-webflux</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
我是否遗漏了什么或者 Spring Security 有问题?
UPDATE
经过进一步调查,我认为问题出在Spring Security中的这个方法上CsrfWebFilter.class:
private Mono<Void> continueFilterChain(ServerWebExchange exchange, WebFilterChain chain) {
return Mono.defer(() -> {
Mono<CsrfToken> csrfToken = this.csrfToken(exchange);
exchange.getAttributes().put(CsrfToken.class.getName(), csrfToken);
return chain.filter(exchange);
});
}
在这里,csrfTokenMono 永远不会被订阅。当我以这种方式重写过滤器时,我设法在会话中添加令牌:
private Mono<Void> continueFilterChain(ServerWebExchange exchange, WebFilterChain chain) {
return Mono.defer(() -> {
return this.csrfToken(exchange)
.map(csrfToken -> exchange.getAttributes().put(CsrfToken.class.getName(), csrfToken))
.then(chain.filter(exchange));
});
}
但是,那_csrf我的 Thymeleaf 模型中从未添加过参数,因此以下测试不起作用:
<form name="test-csrf" action="/test" method="post">
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
<button type="submit">Escape!</button>
</form>
