Spring启动csrf过滤器
[英]Spring boot csrf filter
问题描述
我试图为某些特定的api调用启用csrf过滤器,而其他人则不需要csrf过滤器。我所做的是
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable().authorizeRequests().antMatchers("/public/**").permitAll();
http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
http.csrf().disable().addFilterBefore(new StatelessCSRFFilter(), CsrfFilter.class).authorizeRequests().antMatchers("/rest/**").permitAll();
}
问题是当我调用localhost:8080 / public / hello时
出现错误
“message”:“缺少或不匹配的CSRF令牌”
我正在使用Spring启动和Spring Security。
谢谢你的帮助。
2 个解决方案
解决方案1
5 已采纳 2015-03-20 08:38:42
http.antMatcher("/public/**").authorizeRequests().anyRequest().permitAll();
http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
http.antMatcher("/rest/**").addFilterBefore(new StatelessCSRFFilter(), CsrfFilter.class).csrf().disable();
或者你可以这样做。我想两者都会奏效。
http.antMatcher("/public/**").csrf().disable();
http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
http.antMatcher("/rest/**").addFilterBefore(new StatelessCSRFFilter(), CsrfFilter.class).csrf().disable();
解决方案2
2 2015-03-19 21:58:23
尝试将http.csrf().disable()更改为http.antMatcher("/public/**").csrf().disable()和http.antMatcher("/rest/**").csrf().disable() 。 您可能必须将这两行放在他们自己的WebSecurityConfigurerAdapter 。
这将告诉Spring-Security创建多个HTTP安全过滤器链(类似于在XML模型中具有多个<http/>块)。
用于CSRF的Spring Boot Security XML与WebSecurityConfigurerAdapter
[英]Spring Boot Security XML vs WebSecurityConfigurerAdapter for CSRF
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
春季靴子csrf和玉
无法禁用csrf Spring启动
禁用csrf可为Spring Boot 2.0提供404
用于CSRF的Spring Boot Security XML与WebSecurityConfigurerAdapter
如何使用 Spring 启动启用 CSRF 令牌
带有 csrf 标头的 Spring-Boot Post 请求
发现无效的 CSRF 令牌 - Spring 引导和 Axios
Spring Boot 不需要 CSRF 令牌
无法在Spring Boot中禁用CSRF安全性
在 Spring Boot 和 Angular 之间处理 CORS 和 CSRF
相关标签