[英]Could not verify the provided CSRF token because your session was not found in spring security
我正在使用spring security和java config
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/api/*").hasRole("ADMIN")
.and()
.addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
.exceptionHandling()
.authenticationEntryPoint(restAuthenticationEntryPoint)
.and()
.formLogin()
.successHandler(authenticationSuccessHandler)
.failureHandler(new SimpleUrlAuthenticationFailureHandler());
我正在使用PostMan来测试我的REST服务。 我成功获得'csrf token',我可以在请求标头中使用X-CSRF-TOKEN登录。 但登录后我点击发布请求(我在请求标题中包含相同的令牌,我用于登录发布请求)我收到以下错误消息:
HTTP状态403 - 无法验证提供的CSRF令牌,因为找不到您的会话。
任何人都可以指导我做错了什么。
根据spring.io:
什么时候应该使用CSRF保护? 我们的建议是对普通用户可以由浏览器处理的任何请求使用CSRF保护。 如果您只创建非浏览器客户端使用的服务,则可能需要禁用CSRF保护。
所以要禁用它:
@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
}
}
注意: Java配置默认启用CSRF保护
试试这个: @Override protected boolean sameOriginDisabled() { return true;}
@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {
...
// Determines if a CSRF token is required for connecting. This protects against remote
// sites from connecting to the application and being able to read/write data over the
// connection. The default is false (the token is required).
@Override
protected boolean sameOriginDisabled() {
return true;
}
}
禁用CSRF保护是个坏主意。
Spring会在每次请求后自动生成一个新的CSRF令牌,您需要将它包含在带有副作用的所有HTTP请求中(PUT, POST, PATCH, DELETE).
在Postman中,您可以在每个请求中使用测试将CSRF令牌存储在全局中,例如在使用CookieCsrfTokenRepository
pm.globals.set("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);
然后将其作为带有键X-XSRF-TOKEN和值{{xsrf-token}}的标题包含{{xsrf-token}} 。
获得了与POST方法相同的错误,获得了403 Forbidden“无法验证提供的CSRF令牌,因为找不到您的会话。”
通过在配置中添加@EnableResourceServer注释来探索一段时间后找到解决方案。
Config看起来像那样(spring-boot.version - > 1.4.1.RELEASE,spring-security.version - > 4.1.3.RELEASE,spring.version - > 4.3.4.RELEASE)
@Configuration
@EnableWebSecurity
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends ResourceServerConfigurerAdapter {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(inMemoryUserDetailsManager()).passwordEncoder(passwordEncoder());
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.httpBasic();
http.sessionManagement().sessionCreationPolicy(STATELESS);
http.csrf().disable();
http.authorizeRequests().anyRequest()
.permitAll();
}
private InMemoryUserDetailsManager inMemoryUserDetailsManager() throws IOException {
// load custom properties
Properties properties = new Properties();
return new InMemoryUserDetailsManager(properties);
}
private PasswordEncoder passwordEncoder() {
return new TextEncryptorBasedPasswordEncoder(textEncryptor());
}
private TextEncryptor textEncryptor() {
return new OpenSslCompatibleTextEncryptor();
}
}
我收到此错误消息( HTTP Status 403 - Could not verify the provided CSRF token because your session was not found. )当我在不使用credentials: "same-origin"执行JS 获取 AJAX调用时credentials: "same-origin"选项。
错误的方法
fetch(url)
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })
正确的方式
fetch(url, {
credentials: "same-origin"
})
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })
这是一个老问题,但这可能对某人有所帮助。 我有类似的问题,这就是我能够解决它的方式。
为了使CSRF能够与REST API一起使用,您需要在每次调用之前通过API获取CSRF令牌并使用该令牌。 令牌每次都不同,不能重复使用。
以下是获取CSRF令牌的控制器:
@RequestMapping(value = "/csrf", method = RequestMethod.GET)
public ResponseEntity<CSRFDTO> getCsrfToken(HttpServletRequest request) {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
return ResponseEntity.ok(CSRFDTO.builder()
.headerName(csrf.getHeaderName())
.token(csrf.getToken())
.build());
}
此外,您可以考虑配置Spring应用程序以禁用REST API端点的CSRF。 引用我在某处读过的文章:
我非常确定REST端点上的CSRF令牌可以提供额外的保护。 因此,在REST端点上启用CSRF保护只会为您的应用程序引入一些无用的代码,我认为应该跳过它。
希望这可以帮助。
我已经通过在我的登录页面中添加最后一个属性来解决它,也许它会帮到你。
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8" isELIgnored="false"%>
MissingCsrfTokenException:无法验证提供的 CSRF 令牌,因为找不到您的 session
[英]MissingCsrfTokenException: Could not verify the provided CSRF token because your session was not found
Spring 安全 csrf 已禁用,仍然找到无效的 CSRF 令牌
[英]Spring security csrf disabled, still get an Invalid CSRF token found
在 Spring 安全性中会话超时时,处理请求中发现的无效 CSRF 令牌的最佳方法是什么
[英]What is the best way to handle Invalid CSRF token found in the request when session times out in Spring security
付款回调后的春季安全性“未找到预期的CSRF令牌...”
[英]Spring security 'Expected CSRF token not found…' after payments callback
HTTP状态403 - 未找到预期的CSRF令牌。 你的会话已经过期了吗?
[英]HTTP Status 403 - Expected CSRF token not found. Has your session expired?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.