angularjs - POST 请求中的无效 CSRF token

概览
我将使用 API 网关作为基于 Spring 安全性的身份验证。我一直在按照 https://spring.io/guides/tutorials/spring-security-and-angular-js/ 中的步骤操作链接以创建基于其对应的 github 项目的“pairs-double”模块的项目 https://github.com/spring-guides/tut-spring-security-and-angular-js.git .

问题
问题在于，当任何 POST 请求被提交到服务器时，都会抛出“无效的 CSRF token ”异常。抛出的异常示例如下:

{
  "timestamp": 1461714933215,
  "status": 403,
  "error": "Forbidden",
  "message": "Invalid CSRF Token '1cdc44ad-43cb-44e6-b903-bec24fe903fd' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",
  "path": "/ui/test"
}

我检查并重新检查了问题，但无济于事。我用 postman 测试了这个场景，并将“X-XSRF-TOKEN”设置为 POST 请求的 header ，但没有任何反应。

因此，由于我是使用 Spring 安全方法的初学者，如果有人能给我建议解决方案，我将不胜感激。

最佳答案

查看该项目的安全配置，您会注意到每个请求中都添加了一个 XSRF-TOKEN cookie using a filter .因此，您要做的就是获取该 cookie 的值并将其存储在 X-XSRF-TOKEN header 中。我做了一个类似安全配置的测试项目来测试这个案例，完整的代码如下所示:

@RestController
@SpringBootApplication
public class TestApplication extends WebSecurityConfigurerAdapter {

    public static void main(String[] args) {
        SpringApplication.run(TestApplication.class, args);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/**")  // Disable authentication for all requests.
            .permitAll()
            .and()
            .csrf().csrfTokenRepository(csrfTokenRepository())
            .and()
            .addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); // Register csrf filter.
    }

    private Filter csrfHeaderFilter() {
        return new OncePerRequestFilter() {

            @Override
            protected void doFilterInternal(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain filterChain) throws ServletException, IOException {

                CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
                if (csrf != null) {
                    Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
                    String token = csrf.getToken();
                    if (cookie == null || token != null
                            && !token.equals(cookie.getValue())) {

                        // Token is being added to the XSRF-TOKEN cookie.
                        cookie = new Cookie("XSRF-TOKEN", token);
                        cookie.setPath("/");
                        response.addCookie(cookie);
                    }
                }
                filterChain.doFilter(request, response);
            }
        };
    }

    private CsrfTokenRepository csrfTokenRepository() {
        HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
        repository.setHeaderName("X-XSRF-TOKEN");
        return repository;
    }

    @RequestMapping(value = "/test", method = RequestMethod.GET)
    public String testGet() {
        return "hello";
    }

    @RequestMapping(value = "/test", method = RequestMethod.POST)
    public String testPost() {
        return "works!";
    }
}

要使用 postman 进行测试，请执行以下操作:

启用interceptor开始捕获 cookie。
执行 GET/test 请求并打开 cookies 选项卡。您应该会注意到一个名为 XSRF-TOKEN 的 cookie。
获取该 cookie 的值并将其放入 X-XSRF-TOKEN header 并执行 POST/test 请求。

关于angularjs - POST 请求中的无效 CSRF token ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/36878189/

angularjs - POST 请求中的无效 CSRF token

上一篇：c# - 尝试将 IWebElement 转换为 By 元素

下一篇：c# - 如何在 Visual Studio 中创建 csx 文件？