SpringBoot 与 Spring Security整合,出现POST请求403

最新推荐文章于 2025-01-14 18:00:01 发布
最新推荐文章于 2025-01-14 18:00:01 发布
阅读量4.1k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Spring 文章标签: Spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hefrankeleyn/article/details/90109597
本文探讨了在SpringBoot与SpringSecurity整合时遇到的POST请求403问题,解析了SpringSecurity3.2默认开启的CSRF防护机制,并提供了在Thymeleaf和JSP模板中正确处理CSRFtoken的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近日在学习SpringBoot与Spring Security整合,遇到post请求403的问题:

Spring Boot与Spring Security整合遇到的问题

最初调试该问题的时候,去到SecurityConfig.java 中配置 POST请求, 发现并不奏效:

http.authorizeRequests()
                .antMatchers(HttpMethod.POST, "/readingList/**").hasRole("READER")

结合《Spring in Action》,最终查明了原因:

从Spring Security3.2 开始,默认会启用CSRF防护。它将会拦截状态变化的请求(例如:非GET、HEAD、OPTIONS和TRACE的请求)并检查CSRF token。

因此,想要正确地提交POST请求,需要在表单中添加隐藏的CSRF token标签

CSRF(cross-site request forget):来源于其他站点的POST请求。

二、如果使用Thymeleaf作为页面模板

如果使用Thymeleaf作为页面模板,只要<form>标签action属性中添加了Thymeleaf命名前缀,那么就会自动生成一个"_csrf”隐藏个域,如:

<form method="post" th:action="@{|/readingList/${reader}|}">

thymeleaf自动生成_scrf

 

三、如果使用JSP作为页面模板

可以手动写:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

更好的方式是使用Spring的标签绑定标签:<sf:form/>

springboot整合spring security,表单提交403拒绝访问和sec:authorize="isAuthenticated()"失效问题。
Mr_Simple_V的博客
12-01 2482
最近在学习springboot整合spring security遇到一些问题: 1.有一个新增用户的页面,是使用的form表单进行的post提交。但是总是会报403错误: 好多小伙伴不陌生吧,对于这个页面,我们都知道403就是权限不足,但是我是有给权限的。 .antMatchers("/users/**").hasRole("ADMIN") 登录的用户就是ADMIN权限,但是访问就会报错,就很纳...
security 登陆成功 访问 403_Spring Boot整合Spring Security实现访问控制
weixin_42627459的博客
01-25 779
前言:安全框架目前有两大主流,一个是apache的Shiro,一个是SpringSpring Security,曾经用过Shiro,此次想尝试一下security,加上Spring Boot可以无缝对接Security,所以在此使用Security作为安全组件。 安全框架主要功能为:身份认证,权限控制,预防漏洞攻击 所以接下来我们围绕如果配置身份认证,权限控制去整合Security。环境: I...
Spring BootSpring Security整合post数据不了,403拒绝访问
热门推荐
邹浩阳的专栏
08-19 5万+
最近在学习Spring securityspring boot的整合,刚开始学习了登录和注销,想自己拓展一下,post一些数据,完成数据库的操作。开始长达一天的查找资料解决问题中!!! 首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 了解了错误后,大概就是我用户权限不够吧。当我登录以后,以admin权限去操作post
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3870
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 810
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,NettyRPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
springboot 整合 spring security,自定义登录接口
weixin_42487883的博客
07-19 632
创建一个实现接口的类,以便能够在认证过程中使用自定义的用户信息。@Override@Override@Override@Override@Override@Override@Override创建一个自定义的认证过滤器,处理登录请求并进行身份验证。@Overridetry {// 解析请求中的 JSON 数据以上是一个基本的 Spring Boot Spring Security 整合的自定义登录接口的实现示例。
SpringBoot开发——整合Spring Security
bjzhang75的博客
09-11 1346
SpringBoot整合Spring Security
springboot整合spring security案例
weixin_41359273的博客
09-30 1177
1.本人一小白,最近公司要用到springboot整合security,于是找了很多博客来看,本人主要是参照了这两位博主的文章才完成的案例,Springboot + Spring Security 实现前后端分离登录认证及权限控制,Spring Security配置JSON登录 ...
SpringBoot整合SpringSecurity、JWT
weixin_39585914的博客
11-10 1449
文章目录 前言 一、pom.xml添加Maven依赖 二、类实现 1.类配置 2.JWT工具 3.application.yaml配置 三、控制层 四、服务层 五、数据库 六、Postman测试 前言 学习笔记 一、pom.xml添加Maven依赖 <!--SpringSecurity依赖配置--> <dependency> <groupId>org.spring...
排查springsecurity,get请求正常,post请求403错误
码农小麦
08-03 2469
排查使用springsecurity允许目标路径访问,get请求正常,post请求403错误。
springboot security安全管理报错403
weixin_74009895的博客
08-13 997
springboot security安全管理报错403
springboot403问题--跨域问题
Zarkjobs的博客
09-18 1万+
一、跨域设置问题 1.先初始化 2.过滤相应Request和Response请求 3.销毁调用 package com.yihuisoft.yihuisoftservice; import org.springframework.core.annotation.Order; import javax.servlet.*; import javax.servlet.annotation...
Springboot 项目使用GET、POST方法正常,但是使用PUT和DELETE 就报403
最新发布
donkeyboy001的博客
01-14 673
Springboot 项目使用GET、POST方法正常,但是使用PUT和DELETE 就报403
spring boot post请求403,get请求成功
topdeveloperr的博客
05-07 7470
项目使用了springboot security.使用的springboot版本是springboot2.0. post请求403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 Spring SecurityCSRF 保护默认是开启的,那么在 POST 方式提交表单的时候就必须验证 Token,如果没有,那么自然也...
SpringBoot + SpringSecurity post 请求403的问题(项目小记)
Jesus_loves_me的博客
07-21 1590
本渣渣在写新的项目时用到了SpringSecurity做权限控制,怎奈何403 困住了我。找寻良久,百度查询、B站视频、源码等一些列办法之后,突然发现了个尴尬的事。。。。。。 这俩注解忘了写。 官网诚不欺我: 解决post 403的问题还是像众多百度网友说的一样 http.csrf().disable(); 在这里加上关闭csrf的代码。 由于么有加注解。所以我post请求login的时候报了401。后来发现原因是因为配置没有生效。后来加上注解之后再进行测试就发现可以了 ...
spring boot 集成 spring securty登陆时报 403
无需有太多~
01-07 4276
今天想把springsecurity集成到boot中,然后一个奇怪的错误就出现了,登陆地址老是出现403,搞了半天,找了各种问题,没想到只是需要关掉 csrf这个东西,如果你集成时出现登陆一直报403或者一直往登陆页面跳,那么你可能需要配置如下: http.and().csrf().disable(); 案例如下: @Configuration public class SecurityConf...
Springboot+Vue进行跨域访问时GET正常,但POST 403的解决方案
boluotangbao的博客
06-23 3270
(65条消息) 【跨域异常】get请求访问,但是post请求403跨域异常_get可以跨域 post不能跨域_weiambt的博客-优快云博客。根据控制台报的错能很快锁定是跨域问题,但是搜索了十多个相关的解决办法帖子,要么不适用,要么就是禁用Spring Security。此贴非常详细的介绍了CORS解决浏览器跨域的原理,对我这个小白来说非常友好。本人跟着的是“程序员青戈”的b站springboot+vue的小白教学视频做的,看到p9的时候出现了 前端。保护,尝试过后者,但是并没有什么卵用。
SpringBoot 集成 SpringSecurity 详解(八)-- 退出登录和403异常处理
kk鲁
10-31 1966
SpringBoot 集成 SpringSecurity 详解(八)-- 退出登录和403异常处理需求缘起技术要点一、退出登录二、403异常处理 需求缘起 既然有了登录就应该有登出,这一节我们来实现登出功能; 我们访问接口 http://localhost:8080/hello/helloAdmin,如果我们用账户"user"登录,我们会发现报了403异常,而且界面很不友好,这一节我们来实现自定义...
打造安全的厨具批发商城:SpringBootSpring Security整合CSRF防护
在发送POST请求时,同时在请求体和Cookie中包含相同的随机值。由于第三方站点无法读取Cookie值,因此无法模拟这个值,从而防御了CSRF攻击。 - 使用HTTP请求头:利用请求头中的特定字段来防止CSRF攻击。 #### 数据库...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值