SpringSecurity发送post请求403错误

最新推荐文章于 2025-03-28 00:18:14 发布
最新推荐文章于 2025-03-28 00:18:14 发布
阅读量7.5k 收藏 8
点赞数 3
分类专栏: Spring 文章标签: SpringSecurity 403
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44488164/article/details/89479371
版权
在SpringBoot 2.1.4版本中,整合SpringSecurity后遇到所有POST请求返回403错误的问题。文章详细介绍了如何通过在WebSecurityConfigurerAdapter配置类的configure方法中禁用CSRF保护来解决此问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SpringSecurity发送post请求403错误

我的SpringBoot版本:2.1.4
整合SpringSecurity后所有post请求都出现403错误,提示没有相关权限
如图:在这里插入图片描述
解决方案:在WebSecurityConfigurerAdapter配置类configure方法中添加如下方法

http.csrf().disable();

在这里插入图片描述

springSecurity框架,在界面发送异步请求,没有权限,无法重定向到登录页面/springSecurity异步请求,无法重定向到登录界面---提供源码下载
雾林小妖的博客
09-16 182
项目中,使用springSecurity作为我们的权限框架,当用户没有登录或者没有权限、session信息丢失的时候,发送同步请求springSecurity可以自动重定向到login.html。如果在项目中使用了异步请求,登录信息失效,无法重定向到login.html界面(尝试了很多方法,最终用最简单方式解决)。
security放行 spirng_Spring security放行post接口失败,CsrfFilter又给拦截了
weixin_33737167的博客
12-29 2841
image403错误都是资源权限的问题,从上述图看到/v3/**所有请求都Ok,所有的get请求也都ok,而不带v3的post请求403错误在SpringBoot+springSecurity+Thymeleaf中springSecurity设置拦截规则,他将会对所有http请求以及所有静态资源进行拦截,但是很多时候一些静态资源以及http请求我们并不希望他进行拦截,这时候可以在webSecu...
记录一次错:spring security 403
Blue的博客
02-09 1046
你好,我是Blue. 为帮助别人少走弯路而写博客!!!想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎。如果你遇到了问题,自己没法解决,可以私信问我。!
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7469
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
springsecurity,访问的时候403
最新发布
weixin_63489587的博客
03-28 121
原因是csrf(),好像是可以在header加token,但是我直接disable了。
Spring Boot与Spring Security整合后post数据不了,403拒绝访问
热门推荐
邹浩阳的专栏
08-19 5万+
最近在学习Spring security与spring boot的整合,刚开始学习了登录和注销,想自己拓展一下,post一些数据,完成数据库的操作。开始长达一天的查找资料解决问题中!!! 首先:403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 了解了错误后,大概就是我用户权限不够吧。当我登录以后,以admin权限去操作post
浅谈spring security 403机制
weixin_33965305的博客
06-01 775
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 6291
解决使用Spring-Security框架发送请求出现403错误的问题
Spring security - post请求不了,错:405错误
brucechen110的博客
04-08 4209
主要问题在:SecurityConfig 文件中的配置存在问题,需要把:csrf防护给关闭掉(security默认是打开的) 以下是详细代码实例: package com.zsdag.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.an...
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6996
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误
spring security ajax请求与html共存
03-23
当Ajax请求被拒绝时,Spring Security默认会重定向到一个错误页面,但这对Ajax请求并不适用。因此,我们需要提供一个错误处理器,将错误信息作为JSON或其他适合Ajax响应的格式返回。 5. **HTML与Ajax共存** 在...
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3840
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
SpringSecurity 验证 403 问题
zhangaob的博客
03-24 1455
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。找到实现 UserDetails类的类,我这叫LoginUser。debug,每次认证的时候总是 这里结束。下面所有返回值是布尔值的方法
排查springsecurity,get请求正常,post请求403错误
码农小麦
08-03 2441
排查使用springsecurity允许目标路径访问,get请求正常,post请求403错误
关于Spring securuty 403问题
qq_53755216的博客
03-02 218
项目场景: 个人云盘项目 spring + mybatis + mysql + springsecurity 不知不觉间 已经学了这么多东西了(心酸谁知。。。泪目 问题描述: 在使用spring security进行调试的时候 403forbidden 这两个bug花了我一天的时间。。。 原因分析: csrf打开 导致调试代码的时候POST 会被拦截 如果GET POST 都被拦截 那就说明是其他原因 解决方案: 问题1:再config中关闭csrf .and() .csrf() .disable(
springboot security安全管理403
weixin_74009895的博客
08-13 946
springboot security安全管理403
SpringSecurity登录验证没有权限的问题(403
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
springsecurity返回403
01-14
### 解决Spring Security配置下的403 Forbidden错误 对于POST请求遇到的403 Forbidden错误,在Spring Boot项目中通常由安全策略设置不当引起。具体分析如下: #### HTTP方法与CSRF保护冲突 默认情况下,Spring Security会对除GET外的方法启用CSRF防护机制。这会阻止未经验证的POST请求提交[^1]。 ```java http.csrf().disable(); // 禁用CSRF保护以测试目的 ``` 禁用CSRF可能不是最佳实践,建议针对API接口实施更细粒度的安全控制措施来替代全局关闭此功能。 #### 跨域资源共享(CORS)预检失败 当浏览器发送带有凭证(如Cookie)的跨源HTTP请求时,会在实际请求前发出一个`OPTIONS`预检请求确认服务器允许该操作。如果CORS过滤器顺序不对,则可能导致后续的实际请求被拒绝访问[^2]。 调整CORS配置确保其优先于其他拦截器执行: ```java @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` #### 权限管理不恰当 使用`.anyRequest().permitAll()`虽然能暂时解决问题,但这意味着所有端点都开放给任何用户访问,降低了系统的安全性。更好的做法是指定哪些路径应该公开以及谁有权访问特定资源[^3]。 定义精确的角色授权规则: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/public/**").permitAll() // 对公共API放行 .antMatchers("/api/admin/**").hasRole("ADMIN") // 只允许管理员角色访问admin API .anyRequest().authenticated() // 剩余URL需身份验证后才能访问 .and() .formLogin() .and() .csrf().disable(); // 根据需求决定是否开启CSRF防御 } ``` 通过上述修改能够有效缓解因Spring Security造成的403问题并保持合理的安全保障水平。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值