Spring Security CSRF не отключен - Цифровое Кемерово

Spring Security CSRF не отключен ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Цитата

Сообщение Anonymous » 06 фев 2025, 13:56

У меня есть эта конфигурация безопасности для Spring Boot API, и даже когда я разрешаю некоторые конечные точки, такие как вход в систему или регистрация, сервер продолжает сообщать мне 401 несанкционированное, и журналы, показывающие недействительный токен CSRF
, однако я уже отключил его. < /p >

Код: Выделить всё

@Configuration
@EnableMethodSecurity
public class SecurityConfig {

private JwtAuthenticationEntryPoint authenticationEntryPoint;

private JwtAuthenticationFilter authenticationFilter;

@Value("${cors.allowedOrigin.url}")
private String originURL;

public SecurityConfig(UserDetailsService userDetailsService,
JwtAuthenticationEntryPoint authenticationEntryPoint,
JwtAuthenticationFilter authenticationFilter) {
this.authenticationEntryPoint = authenticationEntryPoint;
this.authenticationFilter = authenticationFilter;
}

@Bean
public static PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(7);
}

@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {
return configuration.getAuthenticationManager();
}

@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.csrf().disable()
.cors().configurationSource(corsConfigurationSource()).and()
.authorizeHttpRequests((authorize) ->
authorize
.requestMatchers("/USERMANAGEMENT/user/add/**","/login2", "/Logout**", "/refreshToken",
"/forgot/**", "/imgCategory/**", "/imgBank/**").permitAll()
.anyRequest().authenticated()
).exceptionHandling(exception -> exception
.authenticationEntryPoint(authenticationEntryPoint)
).sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
);
http.addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}

CorsConfigurationSource corsConfigurationSource() {
final var configuration = new CorsConfiguration();
configuration.addAllowedOriginPattern(originURL);
configuration.setAllowedMethods(Arrays.asList("OPTIONS", "GET", "HEAD", "POST", "PATCH", "PUT", "DELETE"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setExposedHeaders(Arrays.asList("*"));
final var source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
< /code>
@component
public class jwtauthenticationEntrypoint реализует аутентификацию.private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationEntryPoint.class);

/**
* Method will perform authentication during access of secured resources
*
* @param request       HttpServletRequest
* @param response      HttpServletResponse
* @param authException AuthenticationException
* @throws IOException Exception
*/
@Override
public void commence(HttpServletRequest request,
HttpServletResponse response,
AuthenticationException authException) throws IOException {
LOGGER.error("JWT ERROR :", authException);
response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
}
< /code>
} < /p>
@component
public class jwtauthenticationfilter experrequestfilter {< /p>
private final JwtTokenProvider jwtTokenProvider;

private final UserDetailsService userDetailsService;

public JwtAuthenticationFilter(JwtTokenProvider jwtTokenProvider, UserDetailsService userDetailsService) {
this.jwtTokenProvider = jwtTokenProvider;
this.userDetailsService = userDetailsService;
}

/**
* @param request     HttpServletRequest
* @param response    HttpServletResponse
* @param filterChain FilterChain
* @throws ServletException Exception
* @throws IOException      Exception
*/
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {

String token = getTokenFromRequest(request);

// validate token
if (StringUtils.hasText(token) &&  jwtTokenProvider.validateToken(token)) {

// get username from token
String username = jwtTokenProvider.getUsername(token);

// load the user associated with token
UserDetails userDetails = userDetailsService.loadUserByUsername(username);

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
userDetails,
userDetails.getPassword(),
userDetails.getAuthorities()
);
authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
}

filterChain.doFilter(request, response);
}

/**
* @param request: HTTP Request
* @return String Token
*/
private String getTokenFromRequest(HttpServletRequest request) {
String bearerToken = request.getHeader("Authorization");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7);
}
return null;
}

}
и журналы безопасности:
Неверный токен CSRF, найденный для http: // localhost: 8082/пользовательское управление/пользователь/добавить
2025-02-06t01:21:37.522+02:00 Отладка 23744 ---

Подробнее здесь: https://stackoverflow.com/questions/794 ... n-disabled

1738839406

Anonymous

 У меня есть эта конфигурация безопасности для Spring Boot API, и даже когда я разрешаю некоторые конечные точки, такие как вход в систему или регистрация, сервер продолжает сообщать мне 401 несанкционированное, и журналы, показывающие недействительный токен CSRF
, однако я уже отключил его.  < /p >
[code]@Configuration
@EnableMethodSecurity
public class SecurityConfig {

private JwtAuthenticationEntryPoint authenticationEntryPoint;

private JwtAuthenticationFilter authenticationFilter;

@Value("${cors.allowedOrigin.url}")
private String originURL;

public SecurityConfig(UserDetailsService userDetailsService,
JwtAuthenticationEntryPoint authenticationEntryPoint,
JwtAuthenticationFilter authenticationFilter) {
this.authenticationEntryPoint = authenticationEntryPoint;
this.authenticationFilter = authenticationFilter;
}

@Bean
public static PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(7);
}

@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {
return configuration.getAuthenticationManager();
}

@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.csrf().disable()
.cors().configurationSource(corsConfigurationSource()).and()
.authorizeHttpRequests((authorize) ->
authorize
.requestMatchers("/USERMANAGEMENT/user/add/**","/login2", "/Logout**", "/refreshToken",
"/forgot/**", "/imgCategory/**", "/imgBank/**").permitAll()
.anyRequest().authenticated()
).exceptionHandling(exception -> exception
.authenticationEntryPoint(authenticationEntryPoint)
).sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
);
http.addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}

CorsConfigurationSource corsConfigurationSource() {
final var configuration = new CorsConfiguration();
configuration.addAllowedOriginPattern(originURL);
configuration.setAllowedMethods(Arrays.asList("OPTIONS", "GET", "HEAD", "POST", "PATCH", "PUT", "DELETE"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setExposedHeaders(Arrays.asList("*"));
final var source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
< /code>
@component
public class jwtauthenticationEntrypoint реализует аутентификацию.private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationEntryPoint.class);

/**
* Method will perform authentication during access of secured resources
*
* @param request       HttpServletRequest
* @param response      HttpServletResponse
* @param authException AuthenticationException
* @throws IOException Exception
*/
@Override
public void commence(HttpServletRequest request,
HttpServletResponse response,
AuthenticationException authException) throws IOException {
LOGGER.error("JWT ERROR :", authException);
response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
}
< /code>
} < /p>
@component
public class jwtauthenticationfilter experrequestfilter {< /p>
private final JwtTokenProvider jwtTokenProvider;

private final UserDetailsService userDetailsService;

public JwtAuthenticationFilter(JwtTokenProvider jwtTokenProvider, UserDetailsService userDetailsService) {
this.jwtTokenProvider = jwtTokenProvider;
this.userDetailsService = userDetailsService;
}

/**
* @param request     HttpServletRequest
* @param response    HttpServletResponse
* @param filterChain FilterChain
* @throws ServletException Exception
* @throws IOException      Exception
*/
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {

String token = getTokenFromRequest(request);

// validate token
if (StringUtils.hasText(token) &&  jwtTokenProvider.validateToken(token)) {

// get username from token
String username = jwtTokenProvider.getUsername(token);

// load the user associated with token
UserDetails userDetails = userDetailsService.loadUserByUsername(username);

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
userDetails,
userDetails.getPassword(),
userDetails.getAuthorities()
);
authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
}

filterChain.doFilter(request, response);
}

/**
* @param request: HTTP Request
* @return String Token
*/
private String getTokenFromRequest(HttpServletRequest request) {
String bearerToken = request.getHeader("Authorization");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7);
}
return null;
}
[/code]
} 
и журналы безопасности: 
Неверный токен CSRF, найденный для http: // localhost: 8082/пользовательское управление/пользователь/добавить
2025-02-06t01:21:37.522+02:00 Отладка 23744 ---  

Подробнее здесь: [url]https://stackoverflow.com/questions/79417617/spring-security-csrf-non-disabled[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Получение ошибки «Неверный токен CSRF», даже если CSRF отключен

Последнее сообщение Гость « 13 мар 2024, 18:48
Добавлено в форуме JAVA

Гость » 13 мар 2024, 18:48 » в форуме JAVA

Недавно я обновил свое приложение Spring Boot до Spring Boot 3.2 и Spring Security 6.2. Я также представил токены формата JWT для авторизации.
Я хочу отключить требование токена CSRF, поскольку я уже использую токен JWT. Но даже после его отключения...

0 Ответы

91 Просмотры

Последнее сообщение Гость
13 мар 2024, 18:48
Spring Security CSRF не отключен

Последнее сообщение Anonymous « 06 фев 2025, 16:37
Добавлено в форуме JAVA

Anonymous » 06 фев 2025, 16:37 » в форуме JAVA

У меня есть эта конфигурация безопасности для Spring Boot API, и даже когда я разрешаю некоторые конечные точки, такие как вход в систему или регистрация, сервер продолжает сообщать мне 401 несанкционированное, и журналы, показывающие...

0 Ответы

14 Просмотры

Последнее сообщение Anonymous
06 фев 2025, 16:37
Получение «недопустимого токена CSRF», найденного в приложении Spring Boot, хотя CSRF отключена в Spring SecurityConfig

Последнее сообщение Anonymous « 05 май 2025, 16:10
Добавлено в форуме JAVA

Anonymous » 05 май 2025, 16:10 » в форуме JAVA

Я получаю эту ошибку

Неверный токен CSRF, найденной для http: // localhost: 8080/api/v1/login

Когда я выполняю пост из почты на этой конечной точке http: // localhost: 8080/api/v1/login
Это контроллер.
@RestController
class FooController() {...

0 Ответы

12 Просмотры

Последнее сообщение Anonymous
05 май 2025, 16:10
Spring Boot 3.3.2 с проблемой Spring Security 6.3.1 (нет поддержки auth0-spring-security-api с Spring Framework 3.3.2)

Последнее сообщение Anonymous « 02 авг 2024, 21:56
Добавлено в форуме JAVA

Anonymous » 02 авг 2024, 21:56 » в форуме JAVA

Я пытаюсь обновить свой проект до версии Spring boot 3.3.2, а версия безопасности Spring — 6.3.1.
В коде класс JwtWebSecurityConfigurer используется для установки под полями.
JwtWebSecurityConfigurer
.forRS256(env.getRequiredProperty(...

0 Ответы

94 Просмотры

Последнее сообщение Anonymous
02 авг 2024, 21:56
Неверная ошибка токена Spring Boot CSRF, несмотря на отключение CSRF

Последнее сообщение Anonymous « 16 май 2024, 09:07
Добавлено в форуме JAVA

Anonymous » 16 май 2024, 09:07 » в форуме JAVA

Я работаю над приложением Spring Boot и столкнулся с проблемой с фильтром CSRF. Несмотря на отключение CSRF в моей конфигурации безопасности, я продолжаю получать сообщение об ошибке «Обнаружен неверный токен CSRF» при попытке отправить POST-запрос...

0 Ответы

74 Просмотры

Последнее сообщение Anonymous
16 май 2024, 09:07

Вернуться в «JAVA»