Spring Security中启用CSRF防护（REST版）

2023-05-16

问题

之前文章《Spring Security +Spring Session Redis+JJWT》介绍了怎么使用Spring Security实现restful风格的登录api。现在，我们在这个基础上面实现csrf防护措施。

csrf原理

在调用登录的接口的时候，必须在已有的基础上面携带请求头X-CSRF-TOKEN，以验证这个请求是合法的登录请求。

Spring Security

AuthController.java

前端在调用登录接口之前，需要先调用获取token的接口。然后，再调用登录接口。

@GetMapping("/csrf")
public CsrfResponse csrf(@RequestAttribute("_csrf") CsrfToken csrf) {
    return CsrfResponse.builder().token(csrf.getToken()).build();
}

CsrfResponse.java

import lombok.AllArgsConstructor;
import lombok.Builder;
import lombok.Data;
import lombok.NoArgsConstructor;

@Builder
@Data
@NoArgsConstructor
@AllArgsConstructor
public class CsrfResponse {

    private String token;
}

SecurityConfiguration.java

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.cors().and().csrf().and()
...
                        .requestMatchers(HttpMethod.GET, "/auth/csrf").permitAll()
                       ....
                )
...
                .formLogin(withDefaults())
                .httpBasic().disable();
        return http.build();
    }

这里主要就是添加了匿名获取csrf token的接口，并启用Spring Security CSRF防护。
注意： Spring Security的csrf默认是忽略GET请求，但是不会忽略匿名POST请求，这种需求，可以使用如下配置实现：

...
http.cors().and().csrf()
                // 配置匿名post请求忽略csrf
                .ignoringRequestMatchers("/xx/register")
                ....

测试

获取csrf token接口

获取csrf token

调用登录接口

在普通登录的基础上面，多添加一个请求头X-CSRF-TOKEN。这个请求头的数据，就是之前调用获取csrf token接口中，获取到的数据。这样就登录成功了。

获取资源接口

获取资源接口
这样就成功调用了一般业务接口。

总结

REST版本的csrf防护，就是在原有的登录接口基础上面，新增一个实时随机请求头来，实现CSRF防护。有点像限流中的令牌桶原理。
源码：JwtSession

参考：

《Spring Security +Spring Session Redis+JJWT》
Cross-site request forgery
跨站请求伪造
RESTful API Authentication with Spring Security
Can i disable CSRF check for some controllers?

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring

security

CSRF

REST

Spring Security中启用CSRF防护（REST版）的相关文章

APPLICATION_JSON 无法解析或不是字段

我在应用程序中生成 JSON 时遇到问题我正在尝试有关的教程通过 AngularJS 使用 Java Restful Web 服务 https www youtube com watch v F201AN5UEg0 我创建了一个动态 We
设置 Spring REST 控制器基本 url 而不更改静态资源基本 url

我有一个带有一堆休息控制器 RestController 的 Spring Boot 应用程序我在中使用以下属性application properties文件设置基本 url server context path api 此属性也会更
如果数据库可访问，加盐和散列有什么意义？

我刚刚学习了散列的概念嘿不要忘记盐并使用盐来确保密码安全散列它是一种单向加密实际上不是加密而是散列因此无法对其进行逆向工程加盐是在散列之前在密码上添加随机创建的值的前缀或附加值因为散列只是散列的问题是一些天才提供了字典
使用 spring-data-neo4j 时如何启用 neo4j webadmin？

我正在启动一个新项目使用 REST 访问 Neo4j 数据 http spring io guides gs accessing neo4j data rest 例子该示例使用嵌入式数据库而不是独立的 neo4j 服务器但我想使用 Ne
HibernateTemplate 可以与 EntityManager 共存吗？

我们有一个 spring 3 应用程序它仍然使用已弃用的HibernateTemplate为了持久性并希望迁移到更现代的 JPAEntityManager 是否可以在迁移过程中并行使用这两个 API 甚至可能在单个事务中同时使用以便我们
GSSAPI 中的 javax.naming.AuthenticationException

我正在尝试使用 JAVA GSSAPI 执行 NTLM 绑定我收到此错误 javax naming AuthenticationException GSSAPI 根异常是 javax security sasl SaslException
如何从 jQuery 获取 ajax 请求下载 Excel

我有一个 Spring MVC 视图它提供了一个 excel 文件但是我现在修改了该过程以便用户获得一个模式框他们可以在下载 excel 之前在其中选择一些选项这些选定的选项将发送到视图我的请求看起来像这样 get downl
Hapijs 在一个连接上同时使用 Http 和 Https

New to Hapijs http hapijs com 并尝试使用它来创建一个应用程序该应用程序对所有请求使用 HTTPS 并将 HTTP 重定向到安全连接问题是应用程序进入 HTTPS 模式没有问题但如果我将 URL 更改为 H
是否可以将 WSDL 与 REST Web 服务结合使用？

我是网络服务领域的新手是否可以将 WSDL 与 REST 绑定一起使用或者我应该使用 WADL 可以将 WSDL 与 REST 绑定一起使用但这实际上没有必要 REST 的简单性使得编写代码来使用该服务变得非常容易使用 WSDL 只
Apache Tiles 退休了。备择方案？

Apache Tiles 于 2018 年 12 月迁入阁楼因此 Apache Tiles 已经退休我正在使用 Spring MVC 框架和 JSP 还有哪些替代方案我看到了Sitemesh 但它是一个装饰器我需要一个模板框架我想
Spring Cloud Gateway - 记录传入请求 url 和相应的路由 URI

我是 Spring Cloud Gateway 的新手我想要的是将传入请求记录到相应的路由 url 例如如果我有以下路由配置 id route1 uri http localhost 8585 predicates Path foo fi
RabbitMQ HTTP API 请求 401 未经授权

我正在尝试访问 RabbitMQ Rest 但收到 401 未经授权的错误我想访问队列信息并获取消息编号我发现这是一个解决方案 DefaultHttpClient httpClient new DefaultHttpClient Htt
使用哪个 HTTP 状态代码来拒绝由于乐观锁定失败而导致的 PUT

假设我想实现某种乐观锁定并使用 ETag 来指示最新的资源状态这意味着客户将使用If Match标题时PUT等待更新根据HTTP规范 http www w3 org Protocols rfc2616 rfc2616 sec14 ht
Spring Kafka Acknowledgement.acknowledge 线程安全吗？

我正在实现一个基于卡夫卡的应用程序我想在其中手动确认传入消息架构迫使我在单独的线程中完成它问题是在与消费者不同的线程中执行 Acknowledgement acknowledge 是否可能且安全是的只要你使用MANUAL并不是M
如何在 Spring Security @PreAuthorize/@PostAuthorize 注解中使用自定义表达式

有没有办法在 Preauthorize 块中创建更具表现力的语句这是我发现自己重复的一个例子因为 Preauthorize 开箱即用并不是非常智能 RequestMapping value id method RequestMethod
为什么我们需要 RESTful Web 服务？

我将学习 RESTful Web 服务最好说我必须这样做因为它是 CS 硕士学位课程的一部分我在 Wikipedia 上阅读了一些信息还在 Sun Developer Network 上阅读了一篇有关 REST 的文章我发现这不是
REST 中子资源和路径变量冲突？

设计路径解析可能含糊不清的 REST API 是否被认为是不好的做法例如 GET animals id Returns the animal with the given ID GET animals dogs Returns all a
没有字符串参数构造函数/工厂方法可以从字符串值 ('') 反序列化

我在使用时遇到了 json 解析问题ObjectMapper类来自com fasterxml jackson databind包我得到的错误是 com fasterxml jackson databind JsonMappingExcep
Maven 依赖冲突：org.w3c.dom.ElementTraversal

我有一个 Java 代码库它使用 Maven 进行依赖项解析并在 CI 上运行测试经过最近的一批开发大到足以很难识别重大更改我的一些测试现在在通过 Maven 运行时失败了NoClassDefFoundError for org w
spring 中的事件监听器被调用两次

我在我的 Web 应用程序中遇到了 Spring 事件监听器的问题任何立即帮助将不胜感激如果我有循环依赖事件监听器会注册并调用两次我有服务类它在另一个方法上有 transaction 注释 Service PBSTaskServi

随机推荐

CAS新版本(6.0-RC4)使用介绍（一）

新版本CAS介绍 xff08 6 0 RC4 xff09 简介 Central Authentication Service CAS xff0c 通常称为CAS CAS是一种针对Web的企业多语言单点登录解决方案 xff0c 并尝试成为您的
彻底理解Java反射以及动态代理中对反射的应用

反射 Reflection 是 Java 的特征之一 xff0c 它允许运行中的 Java 程序获取自身的信息 xff0c 并且可以操作类或对象的内部属性简而言之 xff0c 通过反射 xff0c 我们可以在运行时获得程序或程序集中每一个
读懂消息队列：Kafka与RocketMQ

3月份学完了极客时间的消息列队高手课专栏 xff0c 专栏讲解了许多消息队列的基础知识并且对Kafka与RocketMQ两种主流消息队列有精彩的对比分析学完专栏后将所有要点整理为笔记记录下来 xff0c 其他相关知识也搜索了大量资料
ubuntu20.04设置静态IP地址

ubuntu20 04 默认使用动态IP设置 xff0c 但有时我们需要为其设置静态IP 本文将带着大家彻底搞清楚ubuntu20 04的IP设置方法如果你是在虚拟机中使用ubuntu20 04 并对虚拟机的网络设置有疑问的话请看本人的拙
Centos的repos文件中的$releasever和$basearch的取值

查看CentOS Base repo部分内容 xff0c 文件路径 etc yum repos d CentOS Base repo base baseurl 61 http mirror centos org centos release
如何用Redis实现分布式锁

为什么需要分布式锁在聊分布式锁之前 xff0c 有必要先解释一下 xff0c 为什么需要分布式锁与分布式锁相对就的是单机锁 xff0c 我们在写多线程程序时 xff0c 避免同时操作一个共享变量产生数据问题 xff0c 通常会使用一把锁
AQS与Synchronized异曲同工的加锁流程

在并发多线程的情况下 xff0c 为了保证数据安全性 xff0c 一般我们会对数据进行加锁 xff0c 通常使用Synchronized或者ReentrantLock同步锁 Synchronized是基于JVM实现 xff0c 而Reent
基于贫血模型的MVC开发模式VS领域建模开发模式

大部分工程师都是做业务开发的 xff0c 很多业务系统都是基于MVC三层架构来开发的 xff0c 确切点说 xff0c 这是一种基于贫血模型的MVC三层架构开发模式这种开发模式已经成为标准的Web项目开发模式 xff0c 但它却违反了面向
从Servlet、Servlet容器及Web容器的演进历程总结框架设计的套路

Web架构演进历程早期的Web技术主要用于浏览静态页面 xff0c 首先浏览器发起HTTP请求 xff0c 请求一些静态资源 xff0c 这时候需要一个服务器来处理HTTP请求 xff0c 并且将相应的静态资源返回这个服务器叫HTTP服
信号量与生产者消费者问题

生产者消费者问题生产者消费者题型在各类考试 xff08 考研程序员证书程序员面试笔试期末考试 xff09 很常见 xff0c 原因之一是生产者消费者题型在实际的并发程序 xff08 多进程多线程 xff09 设计中很常见 x
IOC的实现原理—反射与工厂模式

反射机制概念我们考虑一个场景 xff0c 如果我们在程序运行时 xff0c 一个对象想要检视自己所拥有的成员属性 xff0c 该如何操作 xff1f 再考虑另一个场景 xff0c 如果我们想要在运行期获得某个类的Class信息如它的属性
Spring中bean的作用域与生命周期

在Spring中 xff0c 那些组成应用程序的主体及由Spring IoC容器所管理的对象 xff0c 被称之为bean 简单地讲 xff0c bean就是由IoC容器初始化装配及管理的对象 xff0c 除此之外 xff0c bean就
前后端分离架构概述

1 背景前后端分离已成为互联网项目开发的业界标准使用方式 xff0c 通过nginx 43 tomcat的方式 xff08 也可以中间加一个nodejs xff09 有效的进行解耦 xff0c 并且前后端分离会为以后的大型分布式架构弹性
数据库的事务隔离级别总结

学习数据库的时候常常会接触到事务 ACID等概念 xff0c 那么到底什么是数据库的事务 xff0c 数据库事务又具有哪些特点 xff0c 和ACID有怎样的关系 xff0c 事务的隔离级别又是做什么的呢 xff1f 事务及其四大特性 xf
ubuntu18 遇到libc6 版本冲突问题

问题描述 xff1a You might want to run 39 apt fix broken install 39 to correct these The following packages have unmet depende
Linux 系统裁剪--制作一个最小化的Linux iso镜像

1 前言一直以来都想制作一个最小化的Linux系统 xff0c 这个小系统需要有常用的Linux 命令 xff0c 以及定制化的某些功能可是由于种种原因一直没能实现 xff0c 最近终于有时间把它做了出来本文所说的精简的Linux系统
git为单独的仓库设置提交的用户名

在我们平时的学习中可能有这么一种需求 xff0c 在公司进行开发的时候 xff0c 一般会参与多个项目的开发 xff0c 而项目提交代码时 xff0c 一般请求情况下提供的用户都是同一个 xff0c 而我们为了方便可能会使用全局进行git
Ubuntu18.04安装Xfce桌面与VNC远程工具

1 Xfce桌面的安装 Xfce是一款轻量级的桌面环境 xff0c 运行在类Unix操作系统 xff08 如Linux FreeBSD 和 Solaris xff09 上 xff0c 界面清爽美观且对用户友好在安装Xfce前需要更新一下系
Nginx的临时文件权限问题

问题在重启了nginx发现部分较大的Post请求出现了500错误 xff0c 然后 xff0c 查看Nginx错误日志 xff0c 类似如下 xff1a nginx open 34 usr local nginx client body
Spring Security中启用CSRF防护（REST版）

问题之前文章 Spring Security 43 Spring Session Redis 43 JJWT 介绍了怎么使用Spring Security实现restful风格的登录api 现在 xff0c 我们在这个基础上面实现csrf

热门标签