Spring Security Access在发布后被拒绝403
[英]Spring Security Access denied 403 after post
问题描述
我已经尝试了其他帖子中的几乎所有内容,但与我的问题无关。
如果我尝试通过GET恢复我的URL(例如:path / users / edit / 1),一切正常,我将重定向到用户编辑页面,但是如果我尝试通过POST访问该页面,Spring Security将拒绝我的访问到页面。
这两种方法都映射在我的控制器类中。
@RequestMapping(value="/users/edit/{id}", method={RequestMethod.POST,RequestMethod.GET})
public ModelAndView login(ModelAndView model, @PathVariable("id") int id ) {
model.addObject("user", this.userService.getUserById(id));
model.setViewName("/users/add"); //add.jsp
return model;
}
我使用邮寄的表格
<f:form method="post" action="/users/edit/${user.id}">
<button type="submit">Edit</button>
</f:form>
Spring security.xml
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<!-- enable use-expressions -->
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/secure**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
<intercept-url pattern="/secure/users**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
<!-- access denied page -->
<access-denied-handler error-page="/denied" />
<form-login
login-page="/home"
default-target-url="/secure"
authentication-failure-url="/home?error"
username-parameter="inputEmail"
password-parameter="inputPassword" />
<logout logout-success-url="/home?logout" />
<!-- enable csrf protection -->
<csrf/>
</http>
<!-- Select users and user_roles from database -->
<authentication-manager>
<authentication-provider>
<password-encoder hash="md5" />
<jdbc-user-service data-source-ref="dataSource"
users-by-username-query=
"SELECT login, senha, ativo
FROM usuarios
WHERE login = ?"
authorities-by-username-query=
"SELECT u.login, r.role
FROM usuarios_roles r, usuarios u
WHERE u.id = r.usuario_id
AND u.login = ?" />
</authentication-provider>
</authentication-manager>
3 个解决方案
解决方案1
21 已采纳 2015-06-24 16:47:35
我注意到您正在使用csrf保护,该保护默认情况下会保护任何修改资源的HTTP动词(例如PUT,POST,DELETE等)。 如果您使用的是Spring的form标记,则csrf令牌应自动包含为表单中的隐藏输入。 您应该在浏览器中检查源以验证csrf令牌是否存在,否则您将需要以下内容:
<input type="hidden"
name="${_csrf.parameterName}"
value="${_csrf.token}"/>
您可以在Spring参考中阅读有关csrf保护/配置的更多信息。
解决方案2
0 2018-08-18 00:43:40
您可以简单地使用<sec:csrfInput/>标记,如下所示:
<f:form method="post" action="/users/edit/${user.id}">
<button type="submit">Edit</button>
<sec:csrfInput/>
</f:form>
并且请确保导入spring安全标签
<%@ taglib uri="http://www.springframework.org/security/tags" prefix="sec" %>
解决方案3
0 2019-07-08 17:40:20
我知道这是一个旧帖子,但是我想发布以防万一有人像我一样在搜索时遇到此帖子。
确保在扩展WebSecurityConfigurerAdapter的类上具有正确的批注
@Configuration
@EnableWebSecurity
我错过了这些,花了几个小时来解决一个不存在的问题。
Spring Security hasRole()提供错误403-访问被拒绝
[英]Spring security hasRole() giving Error 403 - Access is denied
错误403-使用Spring Security拒绝访问-ManyToMany注释问题?
[英]Error 403 - Access denied using Spring security - ManyToMany annotation issue?
如何使用 Spring Security 自定义 403 Forbidden/Access Denied Page
[英]How to customize the 403 Forbidden/Access Denied Page using Spring Security
具有Java Config的Spring Security-允许GET方法/拒绝POST方法(403)没有明显原因
[英]Spring Security with Java Config - GET mehods allowed / POST methods denied (403) without any apparent reason
使用 Spring Boot Security JWT 更改密码后访问被拒绝
[英]Access denied after changed password with spring boot security JWT
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
获取后Spring Security Access拒绝403
HTTP状态403 - 拒绝访问Spring安全性
spring 安全 HTTP 状态 403 - 访问被拒绝
403访问每次都拒绝Spring Security
Spring Security hasRole()提供错误403-访问被拒绝
错误403-使用Spring Security拒绝访问-ManyToMany注释问题?
Spring 安全 - 创建 403 访问被拒绝自定义响应
如何使用 Spring Security 自定义 403 Forbidden/Access Denied Page
具有Java Config的Spring Security-允许GET方法/拒绝POST方法(403)没有明显原因
使用 Spring Boot Security JWT 更改密码后访问被拒绝
相关标签