基于rest的SpringSecurity(依赖csrf)

最新推荐文章于 2024-12-11 21:08:33 发布
最新推荐文章于 2024-12-11 21:08:33 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java qml 文章标签: spring java csrf 安全 rest
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/makefriend7/article/details/53490184
本文介绍了在SpringSecurity中实现基于REST的CSRF保护方法。登录后获取CSRF令牌,并确保所有请求携带该令牌以增强安全性。虽然未使用HTTPS,但建议使用以提高安全性。内容包括配置POM文件、定义URL过滤规则、设置非法请求响应及CSRF令牌的生成、存储。同时,还展示了使用QML客户端进行测试的简单过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文地址http://blog.youkuaiyun.com/makefriend7/article/details/53490184点击打开链接


原理如下,登陆后获得csrf,所有请求均需带该csrf, 如果想较好保障安全,建议使用https(例子暂不使用)

pom文件如下

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>TestXmlHttpRequestGroup</groupId>
  <artifactId>TestXmlHttpRequestArt</artifactId>
  <packaging>war</packaging>
  <version>1.0-SNAPSHOT</version>
  <name>TestXmlHttpRequestArt Maven Webapp</name>
  <url>http://maven.apache.org</url>
  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.12</version>
      <scope>test</scope>
    </dependency>
    <!-- https://mvnrepository.com/artifact/ch.qos.logback/logback-classic -->
    <dependency>
      <groupId>ch.qos.logback</groupId>
      <artifactId>logback-classic</artifactId>
      <version>1.1.7</version>
    </dependency>
    <!-- servlet -->
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>servlet-api</artifactId>
      <version>2.5</version>
    </dependency>
    <!-- spring -->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>4.3.3.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-orm</artifactId>
      <version>4.3.3.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-aspects</artifactId>
      <version>4.3.3.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.session/spring-session -->
    <dependency>
      <groupId>org.springframework.session</groupId>
      <artifactId>spring-session</artifactId>
      <version>1.2.2.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>jstl</artifactId>
      <version>1.2</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-core</artifactId>
      <version>4.2.0.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-web -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>4.2.0.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>4.2.0.RELEASE</version>
    </dependency>
    <!-- json -->
    <dependency>
      <groupId>net.sf.json-lib</groupId>
      <artifactId>json-lib</artifactId>
      <version>2.3</version>
      <classifier>jdk15</classifier>
    </de
最低0.47元/天 解锁文章

200万优质内容无限畅学
spring security依赖
yanshendeyinji的博客
10-19 6490
依赖 1非springboot项目 (1)spring-security-core包含了认证和权限控制的功能,支持非web应用,以及方法安全及JDBC等,所以一般需要使用spring security框架,该依赖是必须的 (2)spring-security-web提供web支持,包含了一些Filters,Servlet环境下url控制等基础 (3)spring-security-config包含了丰富的Spring Security XML和注解,可以通过添加该依赖使用他们,其他支持 LDAP, ACL
Spring REST 配置CSRF防护
laojiaqi的专栏
09-23 6523
Spring REST 配置CSRF防护内容从以下几个方面展开 什么是CSRF防护 如何运用CSRF进行防御(WEB) 如何将CSRF防御,运用到REST中 1.什么是CSRFCSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行
springsecurity需要的依赖
qq_45702658的博客
11-20 1555
git地址: https://gitee.com/ljczz/springboot_springsecurity <dependencies> <!--thymeleaf和springsecurity整合--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymelea
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 1064
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
SpringSecurity
weixin_43732943的博客
05-19 888
3、访问任意controller会跳转到login页面,使用如上密码登录,就可以访问controller资源。在控制台中出现默认密码,这就是我们没有实现自定义密码,SpringSecurity帮我们自动生成的密码。5、出现下面的页面说明我们已经登录成功了(因为我没有写任何东西,所以页面会出现404异常)。1、在SpringBoot项目中的pom.xml文件中添加SpringSecurity依赖。4、如果直接访问login页面,输入用户名密码之后会显示404。2、启动SpringBoot项目中的启动类。
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
本项目“REST-spring-security”专注于利用Spring Security来保护基于REST的Web服务,确保数据和API接口的安全。 首先,我们需要理解REST(Representational State Transfer)是一种架构风格,常用于构建可伸缩、高...
Spring Security使用基本认证(Basic Auth)保护REST API
疯一样的码农
11-20 854
通过本教程,您应该了解了如何配置Spring Security的内置HTTP基本认证来保护REST API。基本认证虽然简单,但在某些场景下仍是非常实用的选择。
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证(Authentication)和授权(Authorization)功能,还能防止常见的攻击,如CSRF(跨站请求伪造)和SQL注入等。 SpringBoot是...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计毕业设计.zip
10-20
这是一个基于Spring Boot、Spring Security和Thymeleaf技术栈构建的新冠疫情管理系统的设计与实现项目,适合于毕业设计或深入理解这三大框架在实际项目中的应用。以下是对该项目中涉及的关键知识点的详细说明: 1. ...
无状态服务 java_Spring Security,无状态REST服务和CSRF
weixin_28991715的博客
02-19 163
我有一个REST服务,它使用JavaSpring-boot和带有基本访问身份验证的SpringSecurity构建。没有视图,没有JSP等,没有“登录”,只有可以从单独托管的React应用调用的无状态服务。我已经阅读了许多有关CSRF保护的文档,但是无法决定我应该使用spring-securityCSRF配置还是仅禁用它?如果禁用csrf保护,则可以使用我的基本身份验证使用curl调用服务,如下...
Spring集成SpringSecurity依赖
05-29
Spring集成SpringSecurity依赖包.也有springMVC的依赖包,直接下载引入就可用
spring security CSRF阻止 REST 方法提交数据
ltgsoldier1的博客
01-10 425
security 开启CSRF 会进行提交表单的tocken验证 但是REST方法没有tocken 提交 会阻止REST的DELETE PUT POST方法 解决办法 在thymeleaf里加上 然后 ajax里 加上 头信息 function deleteTable(url, token, tokenVal){ console.log($(“input[type=‘hidden’]”).val...
Spring Security的使用教程
crg18438610577的博客
03-14 1398
Spring Security是一个强大的身份验证和授权框架,它使得在应用程序中实现安全性成为了一个容易的任务
spring security默认登录页面登录用户,和自定义数据源
cristianoxm的博客
04-02 4134
一、默认登录页面 请求 /hello 接口,在引入 spring security 之后会先经过一些列过滤器 在请求到达 FilterSecurityInterceptor时,发现请求并未认证。请求拦截下来,并抛出 AccessDeniedException 异常。 抛出 AccessDeniedException 的异常会被 ExceptionTranslationFilter 捕获,这个 Filter 中会调用 LoginUrlAuthenticationEntryPoint#commence 方
Springsecurity的准备工作
桂林电子科技大学 -芳
03-31 497
类名上加@TableName(value = "sys_user") ,id字段上加 @TableId。
基于restSpringSecurity(完整版,相对最安全版本)
makefriend7的专栏
12-08 3182
相关文章 http://blog.youkuaiyun.com/makefriend7/article/details/53490184 http://blog.youkuaiyun.com/makefriend7/article/details/53514908 官网文档说明 http://docs.spring.io/spring-security/site/docs/current/reference
基于 Spring Security 的基本配置指南
最新发布
m0_61016102的博客
12-11 1217
Spring Security 是一个强大的、可定制的身份验证和访问控制框架,广泛应用于基于 Spring 的应用程序中。它提供了广泛的功能,包括身份验证、授权、密码加密、攻击防护等。本文将详细介绍如何基于 Spring Security 进行基本配置。
csrf java_Spring REST 配置CSRF防护
weixin_29513663的博客
02-15 186
Spring REST 配置CSRF防护内容从以下几个方面展开什么是CSRF防护如何运用CSRF进行防御(WEB)如何将CSRF防御,运用到REST中1.什么是CSRFCSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行的操作...
api存在csrf攻击吗_使用rest api防止单页应用上的csrf攻击
weixin_26741563的博客
09-30 1425
api存在csrf攻击吗tl;dr — If your SPA uses a private REST API, use CORS and a CSRF Token header. If your SPA uses a public REST API, use a SameSite Strict cookie for mutating operations (if you only support...
Spring Security源码开发安全REST服务教程
- **依赖引入**:在项目中引入Spring Security依赖。 - **配置认证**:配置用户详情服务,定义用户信息和授权规则。 - **配置授权**:设定哪些URL需要哪些角色权限才能访问。 - **异常处理**:定义安全异常处理逻辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值