POST 请求中的无效 CSRF 令牌
Invalid CSRF Token in POST request
概览
我将使用 API 网关作为基于 Spring 安全性的身份验证。我一直在按照 https://spring.io/guides/tutorials/spring-security-and-angular-js/ link to create a project based on "pairs-double" module of its corresponding github project of https://github.com/spring-guides/tut-spring-security-and-angular-js.git 中的步骤操作。
问题
问题在于,当任何 POST 请求被提交到服务器时,都会抛出 "Invalid CSRF Token" 异常。抛出的异常示例如下:
{
"timestamp": 1461714933215,
"status": 403,
"error": "Forbidden",
"message": "Invalid CSRF Token '1cdc44ad-43cb-44e6-b903-bec24fe903fd' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",
"path": "/ui/test"
}
我检查并重新检查了问题,但无济于事。我用邮递员测试了这个场景,并将 'X-XSRF-TOKEN' 设置为 POST 请求的 header 但没有任何反应。
因此,由于我是使用 Spring 安全方法的初学者,如果有人能给我建议解决方案,我将不胜感激。
查看该项目的安全配置,您会注意到每个请求 using a filter 中都添加了一个 XSRF-TOKEN cookie。因此,您要做的就是获取该 cookie 的值并将其存储在 X-XSRF-TOKEN header 中。我做了一个类似安全配置的测试项目来测试这个案例,完整的代码是这样的:
@RestController
@SpringBootApplication
public class TestApplication extends WebSecurityConfigurerAdapter {
public static void main(String[] args) {
SpringApplication.run(TestApplication.class, args);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/**") // Disable authentication for all requests.
.permitAll()
.and()
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); // Register csrf filter.
}
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
// Token is being added to the XSRF-TOKEN cookie.
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
@RequestMapping(value = "/test", method = RequestMethod.GET)
public String testGet() {
return "hello";
}
@RequestMapping(value = "/test", method = RequestMethod.POST)
public String testPost() {
return "works!";
}
}
要使用邮递员进行测试,请执行以下操作:
- 启用 interceptor 以开始捕获 cookie。
- 执行
GET /test 请求并打开 cookies 选项卡。您应该会注意到一个名为 XSRF-TOKEN. 的 cookie
- 获取该 cookie 的值并将其放入
X-XSRF-TOKEN header 并执行 POST /test 请求。
概览
我将使用 API 网关作为基于 Spring 安全性的身份验证。我一直在按照 https://spring.io/guides/tutorials/spring-security-and-angular-js/ link to create a project based on "pairs-double" module of its corresponding github project of https://github.com/spring-guides/tut-spring-security-and-angular-js.git 中的步骤操作。
问题
问题在于,当任何 POST 请求被提交到服务器时,都会抛出 "Invalid CSRF Token" 异常。抛出的异常示例如下:
{
"timestamp": 1461714933215,
"status": 403,
"error": "Forbidden",
"message": "Invalid CSRF Token '1cdc44ad-43cb-44e6-b903-bec24fe903fd' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",
"path": "/ui/test"
}
我检查并重新检查了问题,但无济于事。我用邮递员测试了这个场景,并将 'X-XSRF-TOKEN' 设置为 POST 请求的 header 但没有任何反应。
因此,由于我是使用 Spring 安全方法的初学者,如果有人能给我建议解决方案,我将不胜感激。
查看该项目的安全配置,您会注意到每个请求 using a filter 中都添加了一个 XSRF-TOKEN cookie。因此,您要做的就是获取该 cookie 的值并将其存储在 X-XSRF-TOKEN header 中。我做了一个类似安全配置的测试项目来测试这个案例,完整的代码是这样的:
@RestController
@SpringBootApplication
public class TestApplication extends WebSecurityConfigurerAdapter {
public static void main(String[] args) {
SpringApplication.run(TestApplication.class, args);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/**") // Disable authentication for all requests.
.permitAll()
.and()
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); // Register csrf filter.
}
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
// Token is being added to the XSRF-TOKEN cookie.
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
@RequestMapping(value = "/test", method = RequestMethod.GET)
public String testGet() {
return "hello";
}
@RequestMapping(value = "/test", method = RequestMethod.POST)
public String testPost() {
return "works!";
}
}
要使用邮递员进行测试,请执行以下操作:
- 启用 interceptor 以开始捕获 cookie。
- 执行
GET /test请求并打开 cookies 选项卡。您应该会注意到一个名为XSRF-TOKEN. 的 cookie
- 获取该 cookie 的值并将其放入
X-XSRF-TOKENheader 并执行POST /test请求。