我的应用程序在另一个门户应用程序下运行。两者都是在 spring 中实现的,并且都使用 csrf 安全性。
我的需求基本上是更改 csrf token 在 session 中的命名方式,以便两个 token 都可以正常工作而不会发生冲突。到目前为止我尝试的是创建另一个 token 存储库并尝试更改安全配置类中的参数名称和 session 属性名称。
final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("TOOLBIZ-CSRF-TOKEN");
tokenRepository.setParameterName("toolbiz_csfr");
//tokenRepository.setSessionAttributeName("toolbiz_csrf");
当我发出请求时,Spring 不太喜欢这个新设置,日志会生成以下行:
Invalid CSRF token found
我还应该做什么?我错过了什么吗?
最佳答案
这对我有用:-
@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class OptosoftWebfrontSecurity extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/assets/**").permitAll()
.anyRequest().authenticated().and().formLogin().and()
.httpBasic().disable()
.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class)
.csrf().csrfTokenRepository(csrfTokenRepository());
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
repository.setParameterName("_csrf");
return repository;
}
}
过滤器:-
public class CsrfHeaderFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
}
您是否重写了 WebSecurityConfigurerAdapter#configure 方法?
关于java - 重命名 Spring csrf token 变量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31293303/