环境:Springboot2.4.12 + Spring Security 5.4.9
本篇主要内容是基于内存的配置
引入依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>- 1.
自定义用户配置
spring: security: user: name: admin password: 123456- 1.
定义Controller接口
("/demos")public class DemoController { ("home") public Object home() { return "demos home" ; }}- 1.
访问:
http://localhost:8080/demos/home。
将会自动跳转到默认地登录页面:
使用配置文件中配置的admin/123123进行登录。
没有任何问题
再定义一个POST接口。
@PostMapping("post")public Object post() { return "demos post" ;}- 1.
注意:这里我们通过Postman访问默认的登录/login接口先进行登录,登录完成后我们在访问这个post接口。(记住我们在上面访问的GET /demos/home接口只要登录后就可以继续访问该接口)。
首次登录时注意返回的登录页面的html内容,表单信息中多了一个隐藏域_csrf字段,如果我们通过Postman模拟登录时如果不带上该字段将无法登录。
修改登录信息添加上_csrf表单字段,再进行登录。
这里返回404状态码是由于我们没有配置默认登录成功页
到此在Postman中就登录成功了,接下来咱们继续通过Postman访问GET /demos/home接口。
直接访问没有任何问题
接着访问上面定义的POST /demos/post接口。
服务端返回403拒绝访问,上面GET方式正常,POST出现该异常,接着将上面我们登录时候的_csrf字段一起进行提交。
针对POST请求必须携带正确的_csrf信息才能继续方法。
实现原理
在默认情况下Security会添加CsrfFilter过滤器。
public final class CsrfFilter extends OncePerRequestFilter { protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 从默认的HttpSessionCsrfTokenRepository中获取token,默认是从session中 CsrfToken csrfToken = this.tokenRepository.loadToken(request); boolean missingToken = (csrfToken == null); if (missingToken) { // 如果当前session不存在则生成token csrfToken = this.tokenRepository.generateToken(request); // 如果csrfToken不为null,则这里什么都不做(不会保存) this.tokenRepository.saveToken(csrfToken, request, response); } // ... // 判断当前的请求方法是否是("GET", "HEAD", "TRACE", "OPTIONS") // 如果是上面的Method则直接放行,否则继续往下执行 if (!this.requireCsrfProtectionMatcher.matches(request)) { filterChain.doFilter(request, response); return; } // 从请求header中获取_csrf值,headerName = X-CSRF-TOKEN String actualToken = request.getHeader(csrfToken.getHeaderName()); if (actualToken == null) { // 如果header中不存在,则从请求参数中获取 parameterName = _csrf actualToken = request.getParameter(csrfToken.getParameterName()); } // 判断当前参数中的token值与保存到当前session中的是否想到,不等则返回403错误 if (!equalsConstantTime(csrfToken.getToken(), actualToken)) { AccessDeniedException exception = (!missingToken) ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken); this.accessDeniedHandler.handle(request, response, exception); return; } filterChain.doFilter(request, response); }}- 1.
一般我们都会关闭csrf功能。
class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http) throws Exception { // 关闭csrf,就是删除CsrfFilter过滤器。 http.csrf().disable() ; // 拦截任意请求 http.authorizeRequests().anyRequest().authenticated() ; // 这里需要加上该句,否则不会出现登录页面 http.formLogin() ; }}- 1.
以上是关于Spring Security默认配置的情况下csrf相关问题。接下来通过自定义类配置来设定用户的用户信息。
自定义配置
class SecurityConfig extends WebSecurityConfigurerAdapter { ("deprecation") protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 这在后续的文章中会介绍该方法的具体使用 // super.configure(auth); // 配置用户名密码角色,及密码编码方式 auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance()).withUser("guest").password("123456").roles("ADMIN") ; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() ; http.authorizeRequests().anyRequest().authenticated() ; http.formLogin() ; }}- 1.
通过上面配置后,在进行授权的时候就需要使用这里的配置信息。
本篇介绍到这里,下篇将介绍具体的请求拦截配置及自定义登录页面等功能更。