在使用Angular JS的Spring Security中登录过程后缺少CSFR_令牌会话属性
我对使用CSRF的AngularJS的Spring Security有问题。
我的实现基于以下文档:
http://spring.io/guides/tutorials/spring-security-and-angular-js/
我的问题是登录/注销过程管理不正确。
登录阶段似乎进展顺利:响应正常,创建了Java会话,并且记录了主体的属性“SPRING_SECURITY_CONTEXT”。但是在登录过程之后,我注意到会话对象中缺少CSFR_令牌的属性。
这会造成这样的效果:当我尝试注销时,我用Spring Security所需的所有标头传递请求。但是org.springframework.security.web.csrf.CsrfFilter类的"doFilter内部"方法无法检索属性:
org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN
这会导致令牌的重新生成,因为“令牌丢失”(在会话对象中,而不是在请求头中),所以当“doFilterInternal”对请求中传递的令牌进行匹配控制时,匹配失败,并在Spring日志中打印:“找到的CSRF令牌无效…”
这个问题会停止过滤器链:在自定义“csrfHeaderFilter”中创建的过滤器不会被调用,因为它是在标准过滤器之后调用的,所以我将此错误页面作为返回:
HTTP状态403-未找到预期的CSRF令牌。您的会话过期了吗?
会话未过期。事实上,如果我在浏览器上刷新页面,我可以看到我仍在登录。在日志中,我可以看到用户名仍然存在,并且在会话中完美地保存了主体对象。
如果我在页面刷新后重试注销,则注销不再失败,因为在会话中,属性“CSRF_TOKEN”现在存在。注销过程得到了完美的管理,因为在此之后,请求中有一个空会话。
这有什么问题吗?
以下是我的实际安全配置:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTargetClass = true)
public class SecurityContextConfig extends WebSecurityConfigurerAdapter{
@Resource(name = "myUserDetailService")
private UserDetailsService userDetailsService;
@Bean
public static StandardPasswordEncoder passwordEncoder() throws Exception {
return new StandardPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setPasswordEncoder(passwordEncoder());
provider.setUserDetailsService(userDetailsService);
auth.authenticationProvider(provider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/main.html","/pages/**").permitAll()
.anyRequest().authenticated().and()
.httpBasic()
.and()
.csrf()
.csrfTokenRepository(csrfTokenRepository()).and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
.logoutSuccessUrl("/main.html");
}
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
@Override
public void configure(WebSecurity web) throws Exception {
web
.ignoring()
.antMatchers("/resources/**");
}
@Bean(name="authenticationManager")
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
@Autowired
public void setObjectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
super.setObjectPostProcessor(objectPostProcessor);
}
}
这些是第一次尝试注销时的请求头(不刷新)
HTTP Status 403 - Expected CSRF token not found. Has your session expired?
Request URL:https://localhost:8080/myApp/logout
Request Method:POST
Status Code:403 Forbidden
Remote Address:[::1]:8080
Request Headers
view source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip, deflate
Accept-Language:it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:2
Content-Type:application/json;charset=UTF-8
Cookie:JSESSIONID=DFE1A9492F421EDBAEC0DAE6726BFDC4; XSRF-TOKEN=70e2a706-db6d-4f53-b39f-01f6f10b6af1
Host:localhost:8080
Origin:https://localhost:8080
Referer:https://localhost:8080/myApp/main.html
User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
X-Requested-With:XMLHttpRequest
X-XSRF-TOKEN:70e2a706-db6d-4f53-b39f-01f6f10b6af1
Response Headers
view source
Cache-Control:no-cache, no-store, max-age=0, must-revalidate
Content-Language:en
Content-Length:1116
Content-Type:text/html;charset=utf-8
Date:Tue, 19 Apr 2016 12:51:09 GMT
Expires:0
Pragma:no-cache
Server:Apache-Coyote/1.1
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-XSS-Protection:1; mode=block
共有1个答案
我自己解决了。
问题是在客户端,我在登录后忽略了对url“user/”的http访问。如果没有此调用,CSRF_令牌不会在会话中重新保存,从而导致注销过程中服务器端出现问题。
此修复后,行为是正确的,它的工作完美。
因此,在Spring AngularJS教程之后,如果esit OK,就会调用url“user”,然后调用url“user/”。
-
我正在使用laravel 5.4开发一个api 尝试使用API控制器登录时 它给我以下错误: {FatalThrowableError调用未定义的方法Illumate\Auth\TokenGuard::attempt()}
-
这是我送的东西。
-
我已经使用jsp创建了一个登录环境<代码>索引。jsp,登录。jsp。我从数据库中获取用户名和密码。如果用户名和密码与数据库匹配,则登录过程将完美完成。当用户给出错误的名称或密码时,它会显示错误消息,并重定向到登录页面。没什么问题,但我第一次登录时遇到了一个问题。提交错误名称或密码后显示错误消息的位置,该位置显示为空。 为什么显示null? 下面是我的代码 指数jsp login.jsp
-
使用Android的FB SDK有时会在Logcat中抛出错误。 有人知道原因吗?我的应用程序正在运行并获得批准(不在google play上)。我也在使用散列,并在FB应用程序页面上列出我的主要活动和包名。
-
我对CakePHP(v3.7)比较陌生。我有一个应用程序,其中出现了“缺少Csrf令牌Cookie”错误。 在pplication.php,我有: 表单页面有一个隐藏的表单元素,其中包含_csrfToken。我不明白为什么没有在邮件上找到它? 深入研究后,我发现在CsrfProttionMiddleware.php中,下面的_validateToken()函数的行为如下: $cookie为空(没有
-
问题内容: 我刚刚完成了在PHP中创建整个登录和注册systsem的操作,但是我的问题是我还没有使用任何会话。我是PHP的新手,以前从未使用过会话。我想做的是,在用户注册并填写登录表单后,他们仍将停留在同一页面上。因此,其中一部分将是会话已登录,另一部分将是其他(用户未登录,请显示登录表单)。谁能告诉我如何开始? 问题答案: 希望这可以帮助 :) 开始会话,您需要在页面顶部或在调用会话代码之前说出