Au printemps-sécurité avec Java Config, pourquoi httpBasic POST veut-il un jeton csrf?
j'utilise Spring-Security 3.2.0.RC2 avec Java config. J'ai mis en place une simple config HttpSecurity qui demande l'autorisation de base /v1/**. OBTENIR les demandes de travail, mais les requêtes POST échouer avec:
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
la sécurité de Mon config ressemble à ceci:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Resource
private MyUserDetailsService userDetailsService;
@Autowired
//public void configureGlobal(AuthenticationManagerBuilder auth)
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
StandardPasswordEncoder encoder = new StandardPasswordEncoder();
auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
}
@Configuration
@Order(1)
public static class RestSecurityConfig
extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/v1/**").authorizeRequests()
.antMatchers("/v1/**").authenticated()
.and().httpBasic();
}
}
}
Toute aide grandement appréciée.
33
demandé sur
shawnim
2013-12-16 06:15:07
2 réponses
CSRF la protection est activée par défaut avec la configuration Java. Pour le désactiver:
@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
...;
}
}
54
répondu
holmis83
2013-12-16 10:08:46
vous pouvez également désactiver la vérification CSRF uniquement sur certaines demandes ou des méthodes, en utilisant une configuration comme celle-ci pour le http
objet:
http
.csrf().requireCsrfProtectionMatcher(new RequestMatcher() {
private Pattern allowedMethods =
Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
private RegexRequestMatcher apiMatcher =
new RegexRequestMatcher("/v[0-9]*/.*", null);
@Override
public boolean matches(HttpServletRequest request) {
// CSRF disabled on allowedMethod
if(allowedMethods.matcher(request.getMethod()).matches())
return false;
// CSRF disabled on api calls
if(apiMatcher.matches(request))
return false;
// CSRF enables for other requests
return true;
}
});
Vous pouvez voir plus ici:
5
répondu
Andrea
2015-08-25 18:18:47