springboot,springSecurity中POST請求404,坑死個人
阿新 • • 發佈:2018-12-09
最近在使用springboot整合springSecurity安全框架,使用postman除錯專案介面。
專案是新起的,除錯的第一個介面是上傳靜態資源的,第一次用postman上傳附件,結果返回結果報404。
可是這個介面明明是有的
我就開始懷疑自己是不是什麼地方有空格,檢查一遍都能匹配的上,於是我嘗試用GET請求方式呼叫一下介面
結果報405,GET方式不支援,說明url匹配是正確的,可是為什麼POST就404呢,浪費我一上午的時間,我都開始懷疑是不是spring容器出現了什麼問題,就是沒有懷疑springSecurity,然後我慢慢一步步的排除問題,知道我把springSecurity的相關配置以及pmx去掉之後發現上傳介面調通了。
查看了springSecurity的文件以及各種論壇,發現springSecrity預設開啟csrf保護。
解決方案:
方式一.服務後臺配置
1.直接禁用csrf保護。在configure(HttpSecurity http)方法中新增 http.csrf().disable();
2.重寫csrf保護策略。
在configure(HttpSecurity http)方法中新增 http.csrf().requireCsrfProtectionMatcher(requestMatcher());
新增處理類
package com.levenx.config.security; import org.springframework.security.web.util.matcher.RequestMatcher; import javax.servlet.http.HttpServletRequest; import java.util.ArrayList; import java.util.List; import java.util.regex.Pattern; /** * Created by 樂聞 on 2018/9/11. */ public class CsrfSecurityRequestMatcher implements RequestMatcher { private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$"); @Override public boolean matches(HttpServletRequest request) { List<String> unExecludeUrls = new ArrayList<>(); //unExecludeUrls.add("/api/test");//(不允許post請求的url路徑)此處根據自己的需求做相應的邏輯處理 if (unExecludeUrls != null && unExecludeUrls.size() > 0) { String servletPath = request.getServletPath(); request.getParameter(""); for (String url : unExecludeUrls) { if (servletPath.contains(url)) { return true; } } } return allowedMethods.matcher(request.getMethod()).matches(); } }
總結:
springSecurity需要系統的學習一下,用一點學一點容易走進死衚衕。