java - 重命名 Spring csrf token 变量

标签 java spring spring-security csrf csrf-protection

我的应用程序在另一个门户应用程序下运行。两者都是在 spring 中实现的,并且都使用 csrf 安全性。

我的需求基本上是更改 csrf token 在 session 中的命名方式,以便两个 token 都可以正常工作而不会发生冲突。到目前为止我尝试的是创建另一个 token 存储库并尝试更改安全配置类中的参数名称和 session 属性名称。

final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("TOOLBIZ-CSRF-TOKEN");
tokenRepository.setParameterName("toolbiz_csfr");
//tokenRepository.setSessionAttributeName("toolbiz_csrf");

当我发出请求时,Spring 不太喜欢这个新设置,日志会生成以下行:

Invalid CSRF token found

我还应该做什么?我错过了什么吗?

最佳答案

这对我有用:-

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class OptosoftWebfrontSecurity extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/assets/**").permitAll()
            .anyRequest().authenticated().and().formLogin().and()
            .httpBasic().disable()
            .addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class)
            .csrf().csrfTokenRepository(csrfTokenRepository());
}

private CsrfTokenRepository csrfTokenRepository() {
    HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
    repository.setHeaderName("X-XSRF-TOKEN");
    repository.setParameterName("_csrf");
    return repository;
}

}

过滤器:-

public class CsrfHeaderFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request,
            HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
                .getName());
        if (csrf != null) {
            Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
            String token = csrf.getToken();
            if (cookie == null || token != null
                    && !token.equals(cookie.getValue())) {
                cookie = new Cookie("XSRF-TOKEN", token);
                cookie.setPath("/");
                response.addCookie(cookie);
            }
        }
        filterChain.doFilter(request, response);
    }
}

您是否重写了 WebSecurityConfigurerAdapter#configure 方法?

关于java - 重命名 Spring csrf token 变量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31293303/

上一篇:java - 使用包含 (? :. |\s)*? 的模式进行正则表达式搜索需要越来越长的时间

下一篇:java - 停止显示多个 ListCell 上下文菜单

相关文章:

java - 使用 Play Framework 2 时显示 JPA 的 SQL 语句

java - 登录后重定向到所需位置

java - spring security csrf禁用问题

java - MapReduce 能否用于从一个巨大的文件中有效地求和整数?

java - Tree实现java中递归函数调用转换为lambda表达式

java - Spring REST如何支持带有列表和对象的JSON

java - StompSessionHandler 不在 afterConnected block 中调用 handleFrame?

java - Spring :Inserting cookies in a REST call response

spring-security - 如何编写 netflix zuul 过滤器来更改响应位置 header 属性?

java - 预期 Android API 级别为 21+,但在使用 Retrofit 2、OkHttp3 时为 19

©2024 IT工具网  联系我们