Spring Boot使用Spring Security POST无法访问解决方案

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity,但是在使用的过程中发现一个问题,就是get请求可以正常访问,而post的请求却无法访问。

再三检查了对url路径权限的匹配,都没有问题。上篇文章中对应的SecurityConfig配置如下:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

api的post请求返回结果信息如下:

{
  "timestamp": "2020-03-24T12:44:12.782+0000",
  "status": 403,
  "error": "Forbidden",
  "message": "Forbidden",
  "path": "/api/check"
}

也就是说由于权限问题导致请求失败,返回403错误。

针对这个问题,最主要的原因是:SpringSecrity默认开启CSRF保护。

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。

可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

那么如何解决呢?方案有两种:

方案一:简单直接,禁用CSRF。修改之后的代码如下:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.csrf().disable();
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

也就是添加了一行http.csrf().disable();。

方案二:重写CSRF保护策略。示例代码如下:

import org.springframework.security.web.util.matcher.RequestMatcher;
 
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
 
public class CsrfSecurityRequestMatcher implements RequestMatcher {
 
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
 
    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//(不允许post请求的url路径)此处根据自己的需求做相应的逻辑处理
 
        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}

经过以上两种方案解决之后,错误也就消失了。
原文链接:《Spring Boot使用Spring Security POST无法访问解决方案

精品SpringBoot 2.x视频教程

《Spring Boot 2.x 视频教程全家桶》,精品Spring Boot 2.x视频教程,打造一套最全的Spring Boot 2.x视频教程。


程序新视界

公众号“程序新视界”,一个让你软实力、硬技术同步提升的平台

csdn-微信公众号

程序新视界 CSDN认证博客专家 Spring 架构 Java
个人公众号【程序新视界】,一个硬技术,软实力同步提升的平台。《Spring Boo技术内幕:架构设计与实现原理》作者,《深入以太坊智能合约开发》联合作者之一。主要从事于三方支付行业。
已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付 9.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值