spring security下开启csrf,同时支持session.invalidate()调用

最新推荐文章于 2023-03-29 15:47:41 发布
原创 最新推荐文章于 2023-03-29 15:47:41 发布 · 4.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在Java Web项目中,配置Spring Security启用CSRF防御时,遇到HTTPS与HTTP切换导致的session问题。当用户身份验证成功并跳转到HTTP时,由于session变化,新的session缺少CSRF Token引发403错误。解决方案是在验证成功后的跳转action中更新session。此外,为应对session ID更新需求,可能需要修改Spring Security源码,确保在filterChain执行后重新添加CSRF Token到session。

最近在做的一个java web项目,要求登录界面信息提交时使用https,登录成功后页面使用http,同时全站使用csrf防御。

然后https和http的访问会分别创建两个session,csrf的token存在于https创建的session中,当验证用户身份通过后,跳转到http进入时,新建的session中没有csrfToken,因此被403拒绝访问。

解决方法为:在身份验证成功后,跳转页面的action中加入

Cookie nck = new Cookie("JSESSIONID",request.getSession().getId());
			nck.setPath("/");
			nck.setSecure(true);
			response.addCookie(nck);
这样就可以保证跳转前后的session保持一致了。


但新的需求又来了:在某些action处理过程中,需要更新session id,可以参考《spring security 集成csrf与会话更新》,也可以修改spring security源码。

spring security的CsrfFilter.java文件中,在filterChain执行完回调后,再添加一次token到session中即可:

@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
最低0.47元/天 解锁文章
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8490
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 6.x 系列(15)—— 会话管理之源码分析
gmHappy
01-04 3131
在上篇 Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置 Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享 中了清晰了协议和会话的概念、对 Spring Security 中的常用会话配置进行了说明,并了解会话固定攻击防护和 Session 共享,今天我们着重对会话流程和部分源码进行分析
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
spring security认证机制的Invalid CSRF Token问题
weixin_30322405的博客
03-05 1665
spring security在集成spring boot的微服务框架后,进行了cas认证和权限控制。但是在请求过程中,发现了一个问题 1.关于错误 错误指出,请求中出现了不可用的CSRF令牌。 查阅资料后发现这是一个RESTful技术与CSRF(Cross-site request forgery跨站请求伪造)的冲突造成的,CSRF默认支持的方法: GET|HEAD|TRACE|OPTI...
spring-security中的csrf防御机制
热门推荐
behurry的专栏
07-27 3万+
什么是csrf
Springboot 指定销毁用户Session: java.lang.IllegalStateException: getAttribute: Session already invalidated
cocosum
08-31 2872
1、指定销毁session用了invalidate()方法,下面我模拟一下,登录,销毁。。。。看看效果图(图中内容个人网站内容非商用): 我先用谷歌登录一下: 获取到了,sessionId对不对? 我又用IE登录一次: 下面的这一串是IE浏览器的SessionId 我现在指定sessionID去销毁: IE浏览器sessionID:A0036BE8DE90C63D86FF9...
spring boot +spring security+thymeleaf 报CSRF错误
02-14 1251
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 需在页面上添加两段代码 1.在标签中添加 meta name="_csrf" th:content="${_csrf.token}"/> meta name="_csrf_header" th:co
Spring Security 6.x 系列【8】认证篇之注销登录
记录知识、锤炼自我
03-29 1599
本篇文档主要学习在中注销登录操作,以及自定义配置和流程分析。和表单登录配置一样,使用开启注销登录功能(默认开启),logout()方法中应用了一个注销登录配置类默认处理/logout请求被过滤器处理,并执行注销操作,可以自定义配置请求处理路径,下方配置中表示请求// 注销登录 http . logout() . logoutUrl("/custom/logout");// 自定义注销登录请求处理路径可以看到在判定该请求是不是注销请求时,路径为,而且支持多种请求方式:还可以通过自定义注销请求匹配器。
安全认证服务框架Spring SecuritySpring-Security.xml配置之构建加密对象登录及退出
u011918475的博客
11-01 2652
登录及退出 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.org/schema/security" xmln
SpringSecurity解决POST方式下CSRF问题
学习记录和总结
04-13 1万+
SpringSecurity解决POST方式下CSRF问题
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
风雨诗轩的博客
04-27 9202
     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。       解决方法有两种:       第一种是在spring security的配置类中将csrf功能禁用,如下@Override protected void configur...
Spring上传时报Invalid CSRF Token错误解决方案
目尽地平线
04-16 7213
使用spring security之后,默认上传文件会报这个错,解决方案有下面两个:一、 将 MultipartFilter 放在 springSecurityFilterChain 前面;二、在form的action属性里加上 CSRF token
Spring securitycsrf token的认证
On Road ...
02-14 1万+
spring security csrf token 认证
Spring security开启remember me功能,配置session超时,导致csrf验证失败
。。。。。。。
06-25 1726
概述 当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。 配置remember me + session超时 后端 public class HttpSecurityConfigurer { @Override public void configure(H
由通过seeion识别保存在cookie中的seeionID引发的CSRF问题
dingbin1973的博客
11-20 300
上图是一个完整的CSRF攻击过程解释图 重点是第三句话 用户在没有登出的情况下,被攻击者获得了SESSIONID信息,伪造真用户登录 二、CSRF防御 通过 referer、token 或者 验证码 来检测用户提交。 尽量不要在页面的链接中暴露用户隐私信息。 对于用户修改删除等操作最好都使用post 操作 。 避免全站通用的cookie,严格设置cookie的...
6.Spring Security Session 管理
LoveSummer
11-05 7742
Spring Security Session 管理 用户登录成功后,信息保存在服务器 Session 中,这节学习下如何管理这些 Session。这节将在 Spring Security 短信验证码登录的基础上继续扩展。 Session 超时设置 Session 超时时间也就是用户登录的有效时间。要设置 Session 超时时间很简单,只需要在配置文件中添加: server: session...
跨站请求伪造CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 6126
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2474
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
我是用你的方法打印出来了下面的拦截器,org.springframework.security.web.session.DisableEncodeUrlFilter org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.security.web.header.HeaderWriterFilter org.springframework.security.web.authentication.logout.LogoutFilter org.example.security.JwtAuthenticationFilter org.springframework.security.web.savedrequest.RequestCacheAwareFilter org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter org.springframework.security.web.authentication.AnonymousAuthenticationFilter org.springframework.security.web.session.SessionManagementFilter org.springframework.security.web.access.ExceptionTranslationFilter org.springframework.security.web.access.intercept.FilterSecurityInterceptor 为什么没有 UsernamePasswordAuthenticationFilter?
最新发布
07-08
<think>我们之前提到Spring Security默认的过滤器链中包含了`UsernamePasswordAuthenticationFilter`,但在你提供的列表中却没有出现,而是出现了`JwtAuthenticationFilter`(一个自定义过滤器)。原因如下: ### 原因分析: 1. **自定义配置覆盖了默认行为**: - 当你在项目中添加了自定义的安全配置(例如继承`WebSecurityConfigurerAdapter`或使用`@EnableWebSecurity`的配置类)时,可能会覆盖Spring Security的默认配置。 - 默认情况下,如果启用了表单登录(`formLogin()`),则`UsernamePasswordAuthenticationFilter`会被添加到过滤器链中。但如果你禁用了表单登录,或者配置了其他认证方式(如JWT),则该过滤器不会被添加。 2. **JWT认证替代了表单登录**: - 从你打印的过滤器列表中可以看到有一个`org.example.security.JwtAuthenticationFilter`(自定义的JWT过滤器),这通常用于处理基于Token的认证。 - 当使用JWT等自定义认证方式时,开发者通常会**禁用表单登录**(不调用`formLogin()`方法),因此`UsernamePasswordAuthenticationFilter`不会被激活。 3. **其他可能原因**: - 如果配置了HTTP Basic认证(`httpBasic()`),则会添加`BasicAuthenticationFilter`,但不会添加`UsernamePasswordAuthenticationFilter`。 - 如果配置了其他认证机制(如OAuth2、LDAP等),也会改变默认的过滤器链。 ### 验证方法: 检查你的安全配置类(通常命名为`SecurityConfig`),查看是否包含以下情况: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // 如果禁用了表单登录,就不会有UsernamePasswordAuthenticationFilter .formLogin().disable() // 或者根本没有调用formLogin() .addFilter(new JwtAuthenticationFilter(authenticationManager())) // 添加了自定义JWT过滤器 ... // 其他配置 } } ``` ### 解决方案: 如果你希望同时保留表单登录和JWT认证(例如同时支持浏览器和API请求),可以显式启用表单登录并调整过滤器的顺序: ```java http .formLogin() // 启用表单登录(会添加UsernamePasswordAuthenticationFilter) .and() .addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 在表单登录前添加JWT过滤器 ``` ### 总结: **没有`UsernamePasswordAuthenticationFilter`是因为你的配置中禁用了表单登录(或未启用),而使用了自定义的JWT认证过滤器替代了默认的用户名密码认证流程。** §§相关问题§§ 1. 如何在Spring Security同时启用表单登录和JWT认证? 2. 自定义过滤器(如JwtAuthenticationFilter)应该放在Spring Security过滤器链的哪个位置? 3. 禁用Spring Security的表单登录后,如何自定义登录接口? 4. 为什么在Spring Security中自定义过滤器时需要关注过滤器的顺序? 5. 除了UsernamePasswordAuthenticationFilter,Spring Security还有哪些内置的认证过滤器?</think>### 为什么没有 `UsernamePasswordAuthenticationFilter`? 在您列出的过滤器链中,没有出现 `UsernamePasswordAuthenticationFilter` 的原因通常有以下几点: #### 1. **自定义安全配置覆盖了默认行为** - 当您在 `SecurityConfig` 类中自定义了安全配置(如使用 `@EnableWebSecurity`),**默认的表单登录会被禁用** - 例如以下配置会移除表单登录相关的过滤器: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .anyRequest().authenticated() .and() // 没有启用 formLogin() .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class); } ``` #### 2. **使用了 JWT 认证替代表单登录** - 您的过滤器链中包含自定义的 `org.example.security.JwtAuthenticationFilter` - 这通常表示您**用 JWT 认证替代了默认的表单登录机制** - `UsernamePasswordAuthenticationFilter` 是专用于处理表单登录(`/login` 端点)的,当您使用 JWT 时它会被移除 #### 3. **特定配置禁用了表单登录** - 如果您在配置中显式禁用了表单登录: ```java http.formLogin().disable(); // 明确关闭表单登录 ``` - 这会直接移除 `UsernamePasswordAuthenticationFilter` 和相关的 `DefaultLoginPageGeneratingFilter` #### 4. **认证机制的选择** - 当您配置了其他认证方式时(如 HTTP Basic 认证),Spring Security 会**自动调整过滤器链**: ```java http.httpBasic(); // 启用HTTP Basic认证 → 添加BasicAuthenticationFilter ``` - 此时 `UsernamePasswordAuthenticationFilter` 会被 `BasicAuthenticationFilter` 替代 ### 验证方法: 1. **检查安全配置类** 查看是否调用了 `formLogin()` 方法。如果没有调用调用了 `formLogin().disable()`,则不会生成该过滤器。 2. **查看自定义过滤器的位置** 您的 `JwtAuthenticationFilter` 很可能被配置在 `UsernamePasswordAuthenticationFilter` 的位置: ```java http.addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class); ``` 这种配置会用 JWT 过滤器完全替代表单登录过滤器。 ### 总结: **`UsernamePasswordAuthenticationFilter` 缺失是因为您使用了 JWT 认证方案,覆盖了 Spring Security 的默认表单登录行为。这是自定义安全配置时的正常现象,表明您的认证流程已转向基于 Token 的机制。**
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值