具有Security&REST端点的Spring MVC给出了403“由于未找到您的会话,因此无法验证提供的CSRF令牌”
[英]Spring MVC with Security & REST endpoint gives a 403 “Could not verify the provided CSRF token because your session was not found”
问题描述
我有一个Java Spring-boot微服务,其中有一个管理网站和REST端点。 可从myserver.com/serverwebpages访问该网站,而REST Web服务则位于myserver.com/api/restendpoints。 我正在将Spring MVC与Web侧的登录安全性和CSRF以及REST端点侧的HMAC授权一起使用。 我在网站端有@Controller批注,在REST Web服务中有@RestController批注。 该网站运行正常,而Web服务与GET的运行良好。 但是,我只是尝试了DELETE并收到403,错误:禁止,消息:“由于未找到您的会话,因此无法验证提供的CSRF令牌”。 似乎MVC安全正在看到REST Web服务请求并指出CSRF错误,因为我没有提供CSRF编号。 当然,我确实在网页一侧提供了CSRF,以确保MVC跨脚本的安全性。 有人知道怎么修这个东西吗? 我是否需要使用其他端口创建单独的微服务?
2 个解决方案
解决方案1
0 2018-02-09 22:27:23
当您调用DELETE方法时,它们需要CSRF令牌。 也许您的DELETE API不带有CSRF令牌。 您需要在“请求标头”中添加CSRF令牌。
在Header中添加CSRF取决于Ajax框架。 如果您的组合是Spring-Security + Thymeleaf + jQuery,请参阅Spring Security Document:
https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-include-csrf-token-ajax
解决方案2
0 已采纳 2018-02-18 18:07:59
我无法使用Spring MVC找到解决问题的方法。 因此,我只是在同一AWS实例上创建了2个单独的微服务。 一个端口号为443的微服务处理Web服务并使用Spring MVC。 另一个带有端口8443的微服务无需Spring MVC即可处理所有REST API调用。 这工作得很好。 令我失望的是我找不到答案,只能继续前进。
Spring Security:使用@Secured进行安全保护后,找不到剩余端点
[英]Spring Security: Rest endpoint is not found after securing with @Secured
Grails 3应用程序中使用Spring Security Rest对“ refresh_token”请求进行403响应
[英]403 response on a “refresh_token” request with Spring Security Rest in a Grails 3 application
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
找不到Spring Security 4 curl CSRF令牌
Angular 2 Spring Security CSRF 令牌
Spring Security,Rest Authentication和CSRF
Spring 安全性 - 使用 REST 方法的 CSRF
Spring Security:使用@Secured进行安全保护后,找不到剩余端点
Spring Security,无状态REST服务和CSRF
Grails 3应用程序中使用Spring Security Rest对“ refresh_token”请求进行403响应
没有 jsp 的 csrf 令牌(spring mvc)
Grails Spring Security REST被禁止使用403
Web MVC和REST的Spring Security
相关标签