在 Spring Weblux 中禁用给定路径的身份验证和 csrf？

Question

除了一个 url。

我想为整个应用程序启用 oauth2

我的配置：

@EnableWebFluxSecurity
class SecurityConfig {

    @Bean
    fun securityWebFilterChain(http: ServerHttpSecurity) =
        http
            .authorizeExchange()
            .pathMatchers("/devices/**/register").permitAll()
            .and()
            .oauth2Login().and()
            .build()
}

application.yml:

spring.security.oauth2.client.registration.google.client-id: ...
spring.security.oauth2.client.registration.google.client-secret: ...

所有路径都受到 oauth2 的保护，但问题是当我调用允许的端点时 /devices/123/register 然后作为响应我得到：

CSRF Token has been associated to this client

我需要以不同的方式配置此路径吗？

Answer 1

permitAll 只是关于权限的声明——所有典型的 Web 应用程序漏洞仍然像 XSS 和 CSRF 一样得到缓解。

如果您试图表明 /devices/**/register 应该被 Spring 安全部门完全忽略，那么您可以这样做：

http
    .securityMatcher(new NegatedServerWebExchangeMatcher(
        pathMatchers("/devices/**/register")))
    ... omit the permitAll statement

但是，如果您仍然希望该端点获得安全响应 headers，而不是 CSRF 保护，那么您可以这样做：

http
    .csrf()
        .requireCsrfProtectionMatcher(new NegatedServerWebExchangeMatcher(
            pathMatchers("/devices/**/register")))
    ... keep the permitAll statement