重命名 Spring csrf 令牌变量

2023-12-10

我的应用程序在另一个门户应用程序下运行。两者都是在 spring 中实现的，并且都使用 csrf 安全性。

我的需要基本上是更改 csrf 令牌在会话中的命名方式，以便两个令牌都可以正常工作而不会发生冲突。到目前为止，我尝试的是创建另一个令牌存储库，并尝试更改安全配置类中的参数名称和会话属性名称。

final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("TOOLBIZ-CSRF-TOKEN");
tokenRepository.setParameterName("toolbiz_csfr");
//tokenRepository.setSessionAttributeName("toolbiz_csrf");

当我发出请求时，Spring 不太喜欢这个新设置，日志会生成以下行：

Invalid CSRF token found

我还应该做什么？我错过了什么吗？

这对我有用：-

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class OptosoftWebfrontSecurity extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/assets/**").permitAll()
            .anyRequest().authenticated().and().formLogin().and()
            .httpBasic().disable()
            .addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class)
            .csrf().csrfTokenRepository(csrfTokenRepository());
}

private CsrfTokenRepository csrfTokenRepository() {
    HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
    repository.setHeaderName("X-XSRF-TOKEN");
    repository.setParameterName("_csrf");
    return repository;
}

}

还有过滤器：-

public class CsrfHeaderFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request,
            HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
                .getName());
        if (csrf != null) {
            Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
            String token = csrf.getToken();
            if (cookie == null || token != null
                    && !token.equals(cookie.getValue())) {
                cookie = new Cookie("XSRF-TOKEN", token);
                cookie.setPath("/");
                response.addCookie(cookie);
            }
        }
        filterChain.doFilter(request, response);
    }
}

您是否重写了 WebSecurityConfigurerAdapter#configure 方法？

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

Spring

SpringSecurity

CSRF

csrfprotection

重命名 Spring csrf 令牌变量的相关文章

spring webflow，评估表达式在转换中被忽略

我有一个流定义为流
无法使用maven编译java项目

我正在尝试在 java 16 0 1 上使用 maven 构建 IntelliJ 项目但它无法编译我的项目尽管 IntelliJ 能够成功完成在此之前我使用maven编译了一个java 15项目但我决定将所有内容更新到16 0 1
为什么 java 编译器不报告 Intellij 中多播表达式的未经检查的强制转换警告？

为什么下面的代码没有报告 Intellij IDEA 的未经检查的警告jdk 1 8 0 121自从Supplier
Android 自定义视图不能以正确的方式处理透明度/alpha

我正在绘制自定义视图在此视图中我使用两个不同的绘画和路径对象在画布上绘画我基本上是在绘制两个重叠的形状添加 Alpha 后视图中重叠的部分比图像的其余部分更暗这是不希望的但我不知道如何解决它这是我的代码片段用于展示我如何在
类权限不是域类或 GORM 尚未正确初始化或已关闭

我正在开发一个 Grails 休息应用程序我使用的grails版本是3 3 1 我正在使用 spring security rest 进行授权我使用 s2 quickstart 命令创建了以下类 User 权威用户权限该应用程序运行
主线程如何在该线程之前运行？

我有以下代码 public class Derived implements Runnable private int num public synchronized void setA int num try Thread sleep 1
如何从 Retrofit2 获取字符串响应？

我正在做 android 正在寻找一种方法来执行超级基本的 http GET POST 请求我不断收到错误 java lang IllegalArgumentException Unable to create converter for
在java中实现你自己的阻塞队列

我知道这个问题之前已经被问过并回答过很多次了但我只是无法根据互联网上找到的示例找出窍门例如this http tutorials jenkov com java concurrency blocking queues html or t
具有共享依赖项的多模块项目的 Gradle 配置

使用 gradle 制作第一个项目所以我研究了 spring gradle hibernate 项目如何组织 gradle 文件并开始制作自己的项目但是找不到错误为什么我的配置不起作用子项目无法解决依赖关系所以项目树 Root
如何获取 WebElement 的父级[重复]

这个问题在这里已经有答案了我试过了 private WebElement getParent final WebElement webElement return webElement findElement By xpath 但我得到
Java 服务器-客户端 readLine() 方法

我有一个客户端类和一个服务器类如果客户端向服务器发送消息服务器会将响应发送回客户端然后客户端将打印它收到的所有消息例如如果客户端向服务器发送 A 则服务器将向客户端发送响应 1111 所以我在客户端类中使用 readLine 从服
Java 8 中函数式接口的使用

这是来自的后续问题Java 8 中的双冒号运算符 https stackoverflow com questions 20001427 double colon operator in java 8其中 Java 允许您使用以下方式引用
Java - 返回值是否会中断循环？

我正在编写一些基本上遵循以下格式的代码 public static boolean isIncluded E element Node
Spring Security OAuth2简单配置

我有一个简单的项目需要以下简单的配置我有一个密码 grant type 这意味着我可以提交用户名密码用户在登录表单中输入并在成功时获得 access token 有了该 access token 我就可以请求 API 并获取用户
尝试使用等于“是”或“否”的字符串变量重新启动 do-while 循环

计算行程距离的非常简单的程序一周前刚刚开始我有这个循环用于解决真或假问题但我希望它适用于简单的是或否我为此分配的字符串是答案 public class Main public static void main String a
如何在Java中正确删除数组[重复]

这个问题在这里已经有答案了我刚接触 Java 4 天从我搜索过的教程来看讲师们花费了大量精力来解释如何分配二维数组例如如下所示 Foo fooArray new Foo 2 3 但我还没有找到任何解释如何删除它们的信息从内存的情
JSON 到 hashmap (杰克逊)

我想将 JSON 转换为 HashMapJackson http jackson codehaus org 这是我的 JSON String json Opleidingen name Bijz trajecten zorg en welz
Java的-XX:+UseMembar参数是什么

我在各种地方论坛等看到这个参数并且常见的答案是它有助于高并发服务器尽管如此我还是找不到 sun 的官方文档来解释它的作用另外它是Java 6中添加的还是Java 5中存在的顺便说一句许多热点虚拟机参数的好地方是这一页 ht
Hibernate 和可序列化实体

有谁知道是否有一个框架能够从实体类中剥离 Hibernate 集合以使它们可序列化我查看了 BeanLib 但它似乎只进行实体的深层复制而不允许我为实体类中的集合类型指定实现映射 BeanLib 目前不适用于 Hibernate 3 5
嵌入式 Jetty - 以编程方式添加基于表单的身份验证

有没有一种方法可以按如下方式以编程方式添加基于表单的身份验证我用的是我自己的LdapLoginModule 最初我使用基本身份验证并且工作正常但现在我想在登录页面上进行更多控制例如显示徽标等有没有好的样品我正在使用嵌入式 jett

随机推荐

错误：不兼容的类型：char 无法转换为 String - Java [重复]

这个问题在这里已经有答案了这只是我遇到问题故障排除的代码的一部分 static int checkConcat String number TreeSet
了解 celery 任务预取

我刚刚发现配置选项CELERYD PREFETCH MULTIPLIER docs 默认值为 4 但我相信我希望预取关闭或尽可能低我现在将其设置为 1 这与我正在寻找的内容足够接近但仍然有一些我不明白的事情为什么这种预取是个好主意
如何更改 JOptionPane 的字体大小

import java awt ComponentOrientation import javax swing JFrame import javax swing JLabel import javax swing JList import
在 C# 中连接两个具有不同数据类型的字典

我有两本词典即 Dictionary
一个目录中可以放置多少个文件？

我在一个目录中保存多少个文件有关系吗如果是这样一个目录中有多少个文件算过多文件过多会产生什么影响这是在 Linux 服务器上背景我有一个相册网站上传的每张图片都被重命名为8位十六进制数字的id 例如a58f375c jpg 这
将 NA 替换为基于 ID 属性的模式

我有一个数据集dt我想更换NA值与mode基于 id 的每个属性如下 Before id att 1 v 1 v 1 NA 1 c 2 c 2 v 2 NA 2 c 我正在寻找的结果是 id att 1 v 1 v 1 v 1 c 2 c
Mongoose - find()：搜索选项内的对象不起作用

我有一个猫鼬架构如下所示 var mySchema new mongoose Schema metadata isDeleted type Boolean default false 我想获取我的元素列表mongodb数据库应用过滤器所
如何将标题置于表单标题的中心？

我使用中心标签将标题置于表单的中心请注册您的详细信息它工作得非常完美就像我想要的那样但它未能通过验证还有人知道我可以用什么吗
如何在android中通过intent打开前后摄像头？

我们实现相机的目的是它在 micromax480p 版本 5 1 中工作正常但是当我们在 Nexus7 版本 6 1 中使用时相机已打开但我想打开一些正面和一些时间背面是否可以根据我们的需要打开 Intent intent new I
如何在Android中单击水平列表视图项目时更改背景颜色

如何在点击 Android 中的水平列表视图项目时更改背景颜色这样用户就会知道他们点击了哪里下面是我从某个网站获得的代码水平ListViewActivity java public class HorizontalListViewAct
ios uitextfield 类似笔记

我希望我的 uitextfield 看起来像 iPhone 的笔记黄色带有线条最好的方法是什么提前致谢你的意思是 UItextview 对吗它不是 UITextField 但是请清除 UITextView 上的背景 self
pyodbc 删除 unicode 字符串

我正在使用 pyodbc 连接 sqlserver 下面是我的连接字符串一切正常但结果作为 unicode 字符串返回我在连接字符串中有 CHARSET UTF8 但它仍然作为 unicode 字符串返回有什么方法可以使用连接参数本
Rails 3 (beta 4) 安装后出现 Sqlite3 错误

安装 Rails 3 后当我尝试迁移时出现以下有关 Sqlite3 的错误 dlsym 0x1037e5f10 Init sqlite3 native 找不到符号 Library Ruby Gems 1 8 gems sqlite3 r
java中如何转义$？

我正在尝试下面的代码但出现错误 String x aaa XXX bbb String replace XXX String y xy z String z y replaceAll x x replaceFirst replace z S
在棘轮 WebSocket 连接中启动会话

我们构建了一个 Ratchet websocket 服务器为独立的客户端应用程序提供服务服务器在端口 8080 上运行而我们的 Symfony 应用程序在端口 80 上运行至关重要的是我们必须在 websocket 服务器中运行会
使用回调函数报告堆栈回溯

假设我有以下内容 typedef struct char name char binding int address Fn Symbol definition of function symbol static Fn Symbol fnSy
如何让我的应用程序检查 PC 上是否安装了 Adobe flash 播放器？

我的应用程序需要 Adob e Flash Player 才能正常运行并且我需要它来检查它是否已安装那么如何让我的应用程序检查 PC 上是否安装了 Adob e flash 播放器呢我的程序是用C 编写的检查此注册表项是否存在 HK
如何在android中的父级可扩展列表中添加图像？

是否可以在可扩展列表中自定义子项与一起工作SimpleExpandableListAdapter一点也不简单这里有一些代码可以帮助您入门假设您正在使用ExpandableListActivity 在这个例子中我们使用标准andro
Sublime Text 3、rbenv、测试单元、RubyTest 和 Spring 正确配置以使测试正常工作

所以我设置了 RubyTest Sublime Text 3 并且工作正常我在让 spring 在 RubyTest 中工作时遇到问题有这样一个神秘的设定 check for spring false 但是当我设置为 true 并运行测
重命名 Spring csrf 令牌变量

我的应用程序在另一个门户应用程序下运行两者都是在 spring 中实现的并且都使用 csrf 安全性我的需要基本上是更改 csrf 令牌在会话中的命名方式以便两个令牌都可以正常工作而不会发生冲突到目前为止我尝试的是创建另一个令牌

重命名 Spring csrf 令牌变量

重命名 Spring csrf 令牌变量 的相关文章

随机推荐

热门标签

重命名 Spring csrf 令牌变量的相关文章