2. 程式人生 > 其它 >spring-security防禦csrf攻擊

spring-security防禦csrf攻擊

阿新 發佈:2021-01-20

技術標籤:javawebspring boot

@Configuration
@EnableWebSecurity //啟用web許可權
@EnableGlobalMethodSecurity(prePostEnabled = true) //啟用方法驗證
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 定義安全策略
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        String casIsEnable = env.getProperty("cas.server.enable");
        final MyCallbackFilter callbackFilter = new MyCallbackFilter(config);
        callbackFilter.setMultiProfile(true);
        callbackFilter.setSaveInSession(true);

        if (env.getProperty("app.login.type") != null && env.getProperty("app.login.type").toLowerCase().equals("oauth")) {
            http.authorizeRequests()
                    .anyRequest().authenticated()
                    .and().exceptionHandling().authenticationEntryPoint(new Pac4jEntryPoint(config, "MyOauthClient"))
                    .and().addFilterBefore(callbackFilter, BasicAuthenticationFilter.class)
                    .addFilterAfter(new CoreFilter(), BasicAuthenticationFilter.class).cors()// 跨域設定
                    .and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

        } else {
            http.authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                    .exceptionHandling()
                    .authenticationEntryPoint(new Pac4jEntryPoint(config, "CasClient"))
                    .and()
                    .addFilterBefore(callbackFilter, BasicAuthenticationFilter.class)
                    .addFilterAfter(new CoreFilter(), BasicAuthenticationFilter.class)
                    .formLogin()// 使用form表單登入
                    .and()
                    .logout().permitAll()
                    .logoutSuccessUrl(casProperties.getCasServerLogoutUrl())
                    .and()
                    .cors()// 跨域設定
                    .and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                    .ignoringAntMatchers("/user/getUserInfo");
        }
    }


 
//    @Bean
//    public FilterRegistrationBean csrfFilter() {
//        FilterRegistrationBean registration = new FilterRegistrationBean();
//        //registration.setFilter(new CsrfFilter(new CookieCsrfTokenRepository()));
//        registration.setFilter(new CsrfFilter(new HttpSessionCsrfTokenRepository()));
//        registration.addUrlPatterns("/user/save");
//        return registration;
//    }
}

下面注如FilterRegistrationBean不需要了,因為前面csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())。其實內部也是走了csrfFilter過濾器的。

而且一般repository有3種,這裡只介紹2種CookieCsrfTokenRepository和HttpSessionCsrfTokenRepository,CookieCsrfTokenRepository就是把token放在cookie種,然後前端直接從

cookie上取,HttpSessionCsrfTokenRepository就是把token放到session裡,但是因為前端是不能從session取數的,所以這種方式適用於前後端不分離的專案,如果是前後端分離的專案,則需單獨再出getToken的介面。

相關推薦

spring-security防禦csrf攻擊

技術標籤:javawebspring boot @Configuration @EnableWebSecurity //啟用web許可權 @EnableGlobalMethodSecurity(prePostEnabled = true) //啟用方法驗證

CSRF攻擊的原理和spring securityCSRF攻擊的解決方法

此文轉載自:https://blog.csdn.net/qq_42956993/article/details/110213224#commentBox 對於CSRF攻擊的原理,直接上圖然後解釋一下

Python Django框架防禦CSRF攻擊的方法分析

本文例項講述了Python Django框架防禦CSRF攻擊的方法。分享給大家供大家參考,具體如下:

Spring SecurityCSRF 問題解決

技術標籤:spring boot 前後端分離專案,token出現 csrf報錯 兩個解決方案 第一種(推薦)

token防禦CSRF攻擊

技術概述 為防止CSRF跨站點請求偽造,在請求地址中新增 token 並驗證。 技術詳述:

spring security中的csrf防禦原理(跨域請求偽造)

什麼是csrfcsrf又稱跨域請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出

spring security框架中,自定義登入頁面和校驗路徑,CSRF防禦引起的403 Forbidden

問題現象:想自定義登入頁面和校驗地址,按照如下配置後,能正常返回登入頁面,但使用表單提交賬號密碼時,總是出現403 Forbidden,無法正常登入

CSRF攻擊防禦

CSRF攻擊 CSRF(Cross-site request forgery)也被稱為 one-click attack或者 session riding,中文全稱是叫跨站請求偽造。一般來說,攻擊者通過偽造使用者的瀏覽器的請求,向訪問一個使用者自己曾經認證訪問過的網站

Spring Boot 中該如何防禦計時攻擊

鬆哥最近在研究 Spring Security 原始碼,發現了很多好玩的程式碼,抽空寫幾篇文章和小夥伴們分享一下。

spring-security-csrf

README.md # adapa-security ### 1. Introduction **adapa-security**是基於spring-security實現的安全驗證元件。

Api架構奧義:ApiBoot實現零程式碼整合Spring Security & OAuth2

介面服務的安全性一直是程式設計師比較注重的一個問題,成熟的安全框架也比較多,其中一個組合就是Spring Security與OAuth2的整合,在ApiBoot內通過程式碼的封裝、自動化配置實現了自動化整合這兩大安全框架。

詳解Spring Security的HttpBasic登入驗證模式

【北京】 IT技術人員面對面試、跳槽、升職等問題,如何快速成長,獲得大廠入門資格和升職加薪的籌碼?與大廠技術大牛面對面交流,解答你的疑惑。《從職場小白到技術總監成長之路:我的職場焦慮與救贖》活動連結:碼

ApiBoot零程式碼整合Spring Security的JDBC方式獲取AccessToken

ApiBoot Security內部提供了兩種方式進行讀取需要認證的使用者資訊,在之前的文章中講到過ApiBoot Security使用記憶體方式(memory)不寫一行程式碼就可以實現使用者的認證並獲取AccessToken,那我們使用JDBC方式是不

Spring Security 新特性 Lambda DSL 使用

Lambda DSL概述 Spring Security 5.2 對 LambdaDSL 語法的增強,允許使用lambda配置HttpSecurity、ServerHttpSecurity

Spring Security 解析(五) —— Spring Security Oauth2 開發

Spring Security 解析(五) —— Spring Security Oauth2 開發   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可

Spring Security 技術棧開發企業級認證授權(3)

歡迎關注個人部落格,此文為《Spring Security 技術棧開發企業級認證授權(2)》的後續

Spring Security原理介紹、原始碼解析——授權過程

流程簡述 當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文,

Spring Security原理介紹、原始碼解析——認證過程

核心原理 在前後端分離的架構中,許可權認證主要包含兩個主要的過程: 通過使用者名稱密碼換取一個令牌(Token),令牌具有不可修改性,以保證許可權的安全。

【小技巧】spring security oauth2 令牌實現多終端登入狀態同步

目的說明 解決不同客戶端使用token,各個客戶端的登入狀態必須保持一致,退出狀態實現一致。同上述問題類似如何解決不同租戶相同使用者名稱的人員的登入狀態問題。