前端开发入门到精通的在线学习网站

网站首页 > 资源文章 正文

用了SpringSecurity后怎么全是403Forbidden了

qiguaw 2024-09-06 21:04:11 资源文章 21 ℃ 0 评论


公众号 《java编程手记》记录JAVA学习日常,分享学习路上点点滴滴,从入门到放弃,欢迎关注



前言

前段时间倒腾Spring Security,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden,刚开始以为是权限配置错误,仔细检查了N遍,配置没有错误,但是登录之后接口返回确实是403Forbidden权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden,陷入对夜晚深深的思考~

问题发现

确认问题肯定是由Spring Security引起的,直接开始DEBUG

Spring Security 在web场景的应用核心实现为Bean name为SpringSecurityFilterChain的这个Bean,Class为org.springframework.security.web.FilterChainProxy,SpringSecurityFilterChain中内部维护了一个FilterChain,默认FilterChain中会维护如下14个默认的Filter

看到这里本能的看了下CSRF的拦截器CsrfFilter,感觉很有可能是CSRF被拦截导致的,直接跳转到org.springframework.security.web.csrf.CsrfFilter#doFilterInternal方法

CSRFFilter中都做了什么

CSRFFilter#doFilterInternal

CSRFFilter的doFilterInternal方法主要做了如下几件事情

  • 从tokenRepository中获取token,默认是从HttpSessionCsrfTokenRepository即session中获取token
  • 判断token是否为null,为null说明第一次请求,自动生成一个,并且设置到session中
  • 判断是否是csrf需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS四种请求方式不校验 不需要校验,直接执行后续FIlter 需要校验 从请求头中获取本次请求携带的token,没有则从请求参数中获取token 判断从session中获取的token和从请求头中获取的token是否一致 token一致,执行后续Filter 不一致 两个token都存在,但是校验失败,返回InvalidCsrfTokenException 否则返回MissingCsrfTokenException 上面生成的异常交由AccessDeniedHandler处理,最终返回处理的结果异常

org.springframework.security.web.csrf.CsrfFilter#doFilterInternal

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        request.setAttribute(HttpServletResponse.class.getName(), response);
  			//从session中获取token
        CsrfToken csrfToken = this.tokenRepository.loadToken(request);
  			//token是否为空
        boolean missingToken = csrfToken == null;
        if (missingToken) {
          	//自动生成新的token
            csrfToken = this.tokenRepository.generateToken(request);
          	//保存token
            this.tokenRepository.saveToken(csrfToken, request, response);
        }

        request.setAttribute(CsrfToken.class.getName(), csrfToken);
        request.setAttribute(csrfToken.getParameterName(), csrfToken);
  			//是否是csrf需要校验的请求方式类型,默认TRACE,HEAD,GET,OPTIONS四种请求方式不校验
        if (!this.requireCsrfProtectionMatcher.matches(request)) {
            if (this.logger.isTraceEnabled()) {
                this.logger.trace("Did not protect against CSRF since request did not match " + this.requireCsrfProtectionMatcher);
            }
						//执行后续filter
            filterChain.doFilter(request, response);
        } else {
          	//否则需要校验,从请求头部获取token
            String actualToken = request.getHeader(csrfToken.getHeaderName());
            if (actualToken == null) {
              	//为空则从请求参数中获取
                actualToken = request.getParameter(csrfToken.getParameterName());
            }
						//判断两个token是否相等
            if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
                this.logger.debug(LogMessage.of(() -> {
                    return "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request);
                }));
              	//token缺失或者不对应,对应两个异常类型
                AccessDeniedException exception = !missingToken ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken);
              	//交由accessDeniedHandler处理
                this.accessDeniedHandler.handle(request, response, (AccessDeniedException)exception);
            } else {
              	//相等继续执行后续Filter
                filterChain.doFilter(request, response);
            }
        }
    }
复制代码

AccessDeniedHandler#handle

org.springframework.security.web.access.AccessDeniedHandlerImpl#handle

  • 首先判断response是否已经提交,提交则什么也不做
  • 判断异常页面配置是否为null,为null则设置response的异常码
  • 异常页面不为null,则设置异常码,并且重定向到异常页面

public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
  			//response是否已经提交
        if (response.isCommitted()) {
            logger.trace("Did not write to response since already committed");
        //异常页面配置是否为null
        } else if (this.errorPage == null) {
            logger.debug("Responding with 403 status code");
          	//为null则设置FORBIDDEN错误码
            response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
        } else {
            request.setAttribute("SPRING_SECURITY_403_EXCEPTION", accessDeniedException);
            response.setStatus(HttpStatus.FORBIDDEN.value());
            if (logger.isDebugEnabled()) {
                logger.debug(LogMessage.format("Forwarding to %s with status code 403", this.errorPage));
            }
						//重定向到error页面
            request.getRequestDispatcher(this.errorPage).forward(request, response);
        }
    }
复制代码

最终经历DEBUG后发现问题真凶,没有在POST请求中设置CSRFToken导致的,在之前的文章中有讲到,WebSecurityConfigurerAdapter的configure方法中可以配置csrf的开关,简单粗暴的办法就是直接禁用掉csrf即可,虽然之前在整理的时候知道,实践的时候确是忘了

贴一下最终的configure配置

@Override
    protected void configure(HttpSecurity http) throws Exception {
          http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().csrf().disable();
    }
复制代码

数据正常返回

结语

纸上得来终觉浅,实践出真知,文章稍微水了点,也复习了CSRFFilter的执行过程,各位看官点个赞再走!!

Tags:

猜你喜欢

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表
赣ICP备2024033060号-8