找不到预期的 CSRF 令牌。您的会话是否已过期?
Expected CSRF token not found. Has your session expired?
我在 SE 中研究过这个问题,但没有找到解决问题的答案。
从我的问题来看,每次我在网络中注销会话并打开新选项卡时,总是会触发此错误。我认为会话管理不允许在浏览器的另一个选项卡中公开 csrf 令牌。
当我在 chrome cookies 控制台中跟踪 JSESSIONID 时,它显示与给出 JSESSIONID 响应的正常成功登录相比没有给出响应。
这是我的登录页面表单:
<form name='loginForm' action="<c:url value='/login' />" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
<div id="username_input">
<div id="username_inputleft"></div>
<div id="username_inputmiddle">
<input type="text" name="username" id="url" placeholder="<spring:message code="login.name" />" >
<img id="url_user" src="<c:url value="/resources/images/login/mailicon.png"/>" alt="">
</div>
<div id="username_inputright"></div>
</div>
<div id="password_input">
<div id="password_inputleft"></div>
<div id="password_inputmiddle">
<input type="password" name="password" id="url" placeholder="<spring:message code="login.password" />" >
<img id="url_password" src="<c:url value="/resources/images/login/passicon.png"/>" alt="">
</div>
<div id="password_inputright"></div>
</div>
<div id="submit">
<input type="image" src="<c:url value="/resources/images/login/submit_hover.png"/>" id="submit1" value="Sign In" />
<input type="image" src="<c:url value="/resources/images/login/submit.png"/>" id="submit2" value="Sign In"/>
</div>
</form>
我认为问题出在我的安全配置中的会话管理:
.sessionManagement()
.sessionFixation()
.newSession()
.maximumSessions( 1 );
但我无法解决问题。希望有人能帮忙。
更新:
我使用这个注销 link:
<a href="<c:url value="/logout" />">
<spring:url value="/resources/images/logout.jpg" var="logoutimg" />
<img src="${logoutimg}">
<spring:url value="/resources/images/logout_txt.jpg" var="logouttxtimg" />
<img class="hidden-xs" src="${logouttxtimg}" />
</a>
出于某种原因,我们需要使用 /logout 或 /j_spring_security_logout 来注销当前用户。如果我们使用另一种方法以编程方式注销,注销过程将不会完成,除非我使用提供的 url。感谢帮助。如果有人提出了完全以编程方式注销而不影响 spring 安全性的解决方案,请告诉我。谢谢
在你的控制器中试试这个
@RequestMapping("/Logout")
public ModelAndView processLogout(HttpServletRequest request, HttpServletResponse response) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null) {
new SecurityContextLogoutHandler().logout(request, response, auth);
}
mv = new ModelAndView();
mv.setViewName("Login");
return mv;
}
然后在您的登录页面中插入
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
不要忘记将此添加到您的安全配置中
<security:logout delete-cookies="JSESSIONID"
logout-success-url='/login?logout' logout-url="/Logout"
invalidate-session="true" />
我在 SE 中研究过这个问题,但没有找到解决问题的答案。
从我的问题来看,每次我在网络中注销会话并打开新选项卡时,总是会触发此错误。我认为会话管理不允许在浏览器的另一个选项卡中公开 csrf 令牌。
当我在 chrome cookies 控制台中跟踪 JSESSIONID 时,它显示与给出 JSESSIONID 响应的正常成功登录相比没有给出响应。
这是我的登录页面表单:
<form name='loginForm' action="<c:url value='/login' />" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
<div id="username_input">
<div id="username_inputleft"></div>
<div id="username_inputmiddle">
<input type="text" name="username" id="url" placeholder="<spring:message code="login.name" />" >
<img id="url_user" src="<c:url value="/resources/images/login/mailicon.png"/>" alt="">
</div>
<div id="username_inputright"></div>
</div>
<div id="password_input">
<div id="password_inputleft"></div>
<div id="password_inputmiddle">
<input type="password" name="password" id="url" placeholder="<spring:message code="login.password" />" >
<img id="url_password" src="<c:url value="/resources/images/login/passicon.png"/>" alt="">
</div>
<div id="password_inputright"></div>
</div>
<div id="submit">
<input type="image" src="<c:url value="/resources/images/login/submit_hover.png"/>" id="submit1" value="Sign In" />
<input type="image" src="<c:url value="/resources/images/login/submit.png"/>" id="submit2" value="Sign In"/>
</div>
</form>
我认为问题出在我的安全配置中的会话管理:
.sessionManagement()
.sessionFixation()
.newSession()
.maximumSessions( 1 );
但我无法解决问题。希望有人能帮忙。
更新:
我使用这个注销 link:
<a href="<c:url value="/logout" />">
<spring:url value="/resources/images/logout.jpg" var="logoutimg" />
<img src="${logoutimg}">
<spring:url value="/resources/images/logout_txt.jpg" var="logouttxtimg" />
<img class="hidden-xs" src="${logouttxtimg}" />
</a>
出于某种原因,我们需要使用 /logout 或 /j_spring_security_logout 来注销当前用户。如果我们使用另一种方法以编程方式注销,注销过程将不会完成,除非我使用提供的 url。感谢帮助。如果有人提出了完全以编程方式注销而不影响 spring 安全性的解决方案,请告诉我。谢谢
在你的控制器中试试这个
@RequestMapping("/Logout")
public ModelAndView processLogout(HttpServletRequest request, HttpServletResponse response) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null) {
new SecurityContextLogoutHandler().logout(request, response, auth);
}
mv = new ModelAndView();
mv.setViewName("Login");
return mv;
}
然后在您的登录页面中插入
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
不要忘记将此添加到您的安全配置中
<security:logout delete-cookies="JSESSIONID"
logout-success-url='/login?logout' logout-url="/Logout"
invalidate-session="true" />