java - Spring boot - 在请求参数 'null' 或 header '_csrf' 上发现无效的 CSRF token 'X-CSRF-TOKEN'-6ren

java - Spring boot - 在请求参数 'null' 或 header '_csrf' 上发现无效的 CSRF token 'X-CSRF-TOKEN'

转载作者：太空宇宙更新时间：2023-11-04 11:04:36

这是我的 OAUTH2 配置文件
包 pmo.oauth；

import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.ServletContext;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.oauth2.common.DefaultOAuth2AccessToken;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

import pmo.messages.MessageConstants;
import pmo.service.CustomUserDetailsService;

@Configuration
public class OAuth2ServerConfiguration {



    private static final String RESOURCE_ID = "restservice";

    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends
    ResourceServerConfigurerAdapter {

        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            resources
            .resourceId(RESOURCE_ID);
        }

        @Override
        public void configure(HttpSecurity http) throws Exception {
            /*          http.sessionManagement()
            .sessionFixation()
            .newSession();

        http.csrf().disable();*/
            /*     http.sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED).maximumSessions(1);*/
            System.out.println(http.headers());
            http
            .csrf().disable()
            .authorizeRequests()
            /*to avoid Oauth authentication and authorization for api*/
            /*start*/
            .antMatchers("/login**","/register**","/forgotpassword**","/resetpassword**","/verifyuser**","/allcountry**","/validateverificationlink**").permitAll()
            /*End*/
            .anyRequest()
            .fullyAuthenticated();
        }
    }

    @Configuration
    @EnableAuthorizationServer
    public static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Autowired
        ServletContext ctx;

        private TokenStore tokenStore = new InMemoryTokenStore();

        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;

        @Autowired
        private CustomUserDetailsService userDetailsService;

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endPoints){
            endPoints
            .tokenStore(this.tokenStore)
            .authenticationManager(this.authenticationManager)
            .userDetailsService(userDetailsService)
            .tokenEnhancer(tokenEnhancer());
        }

        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

            clients
            .inMemory()  
            .withClient(MessageConstants.OAUTHPMO)
            .authorizedGrantTypes("password","refresh_token")
            .authorities("USER")
            .scopes("read","write")
            .resourceIds(RESOURCE_ID)
            /*.secret(MessageConstants.OAUTHSOC).accessTokenValiditySeconds(15);*/
            .secret(MessageConstants.OAUTHPMO).accessTokenValiditySeconds(5000000);
            /*  clients.notifyAll();*/
        }

        @Bean
        /*      @Scope(value = "session")*/
        @Primary
        public DefaultTokenServices tokenServices() {
            DefaultTokenServices tokenServices = new DefaultTokenServices();
            tokenServices.setSupportRefreshToken(true);
            System.out.println("oauth");
            tokenServices.setTokenStore(this.tokenStore);
            tokenServices.setTokenEnhancer(tokenEnhancer());
            return tokenServices;
        }   



        @Bean
        public TokenEnhancer tokenEnhancer() {
            return new CustomTokenEnhancer();
        }

        public class CustomTokenEnhancer implements TokenEnhancer {
            @Override
            public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
                User user = (User) authentication.getPrincipal();

                final Map<String, Object> additionalInfo = new HashMap<>();

                List<String> tokenValues = new ArrayList<String>();
                Collection<OAuth2AccessToken> tokens = tokenStore.findTokensByClientId(MessageConstants.OAUTHPMO); 
                if (tokens!=null){
                    for (OAuth2AccessToken token:tokens){
                        tokenValues.add(token.getValue());
                    }
                }
                pmo.domain.User us = userDetailsService.viewProfile(user.getUsername());
                additionalInfo.put("User_id", us.getUserId());
                additionalInfo.put("User_type", us.getUserType());
                ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
                us.setAccess_token(accessToken.getValue());
                //us.setAuditDate(new Date());
                ctx.setAttribute("LOGGED_USER", us);                                        
                return accessToken;
            }
        }



    }
}

这是我的 WebSecurityConfiguration 文件

package pmo.oauth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.encoding.ShaPasswordEncoder;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
/*import org.springframework.security.web.csrf.CsrfTokenRepository;
import org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository;*/
import org.springframework.security.web.session.HttpSessionEventPublisher;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import pmo.service.CustomUserDetailsService;

@Configuration
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter{

    @Autowired
    private CustomUserDetailsService userDetailsService;


    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
        .anyRequest()
        .fullyAuthenticated();
         //http.csrf()
        //.csrfTokenRepository(csrfTokenRepository());
        //http.csrf().disable();
    }

    /*private CsrfTokenRepository csrfTokenRepository() 
    { 
        HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository(); 
        repository.setSessionAttributeName("_csrf");
        return repository; 
    }*/

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new ShaPasswordEncoder(512));
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

     @Bean
        SessionRegistry sessionRegistry() {            
            return new SessionRegistryImpl();
        }

        @SuppressWarnings({ "rawtypes", "unchecked" })
        @Bean
        public static ServletListenerRegistrationBean httpSessionEventPublisher() {        
            return new ServletListenerRegistrationBean(new HttpSessionEventPublisher());
        }

     @Bean
        public FilterRegistrationBean corsFilter() {
            UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
            CorsConfiguration config = new CorsConfiguration();
            config.setAllowCredentials(true);
            config.addAllowedOrigin("*");
            config.addAllowedHeader("*");
            config.addAllowedMethod("*");
            source.registerCorsConfiguration("/**", config);
            FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
            bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
            return bean;
        }


}

postman 输入作为 JSON 用于注册 API

{
"firstName":"saravanan",
"姓氏":"sivaguru",
"电子邮件":"sar@yopmail.com",
“用户名”:“sarvan”
}

发生了错误:
{
“时间戳”:1507181207207，
“状态”:403，
“错误”:“禁止”，
"message": "在请求参数 '_csrf' 或 header 'X-CSRF-TOKEN' 上发现无效的 CSRF Token 'null'。",
“路径”:“/pmo/注册”
}

我也尝试禁用csrf，但它不起作用，所以请帮助解决它

最佳答案

添加http.addFilterAfter(new CsrfTokenResponseHeaderFilter(), CsrfFilter.class);
在 OAuth2ServerConfiguration 类的“配置”方法中。

检查链接中的示例 CsrfTokenResponseHeaderFilter example

关于java - Spring boot - 在请求参数 'null' 或 header '_csrf' 上发现无效的 CSRF token 'X-CSRF-TOKEN'，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46578621/

文章推荐： c - 在三个线程之间发送信号

文章推荐： javascript "toggle effect with timeout"窃听因为 "opacity:0"

文章推荐： javascript - 图库未显示

文章推荐： python - 使用 Python 进行网络摄像头运动跟踪

python - Python 请求(AJAX 请求)数据丢失
我正在尝试从该网站抓取历史天气数据: http://www.hko.gov.hk/cis/dailyExtract_uc.htm?y=2016&m=1 在阅读了 AJAX 调用后，我发现请求数据的正确
rest - 链接 postman 请求 - 从另一个请求调用 postman 请求？
我有两个 postman 请求 x,y，它们命中了两个不同的休息 api X,Y 中的端点。 x 会给我一个身份验证 token ，这是发出 y 请求所必需的。如何在请求 y 中发出请求 x ？也就是
javascript - Node.js 请求 - 处理多个 POST 请求
我使用请求库通过 API 与其他服务器进行通信。但现在我需要同时发送多个(10 个或更多)POST 请求，并且只有在所有响应都正确的情况下才能进一步前进。通常语法看起来有点像这样: var optio
javascript - 如果提交了新的 AJAX 请求，则取消 AJAX 请求
背景:当用户单击按钮时，其类会在class1和class2之间切换，并且此数据是通过 AJAX 提交。为了确认此数据已保存，服务器使用 js 进行响应(更新按钮 HTML)。问题:如果用户点击按钮的
Node.js 请求 - 打印帖子的整个 http 请求(原始)
我正在将 Node.js 中的请求库用于 Google 的文本转语音 API。我想打印出正在发送的请求，如 python example . 这是我的代码: const request = requi
python - 请求、请求 2 和请求 3 之间有什么区别？
我经常使用requests。最近我发现还有一个 requests2 和即将到来的 requests3 虽然有一个 page其中简要提到了 requests3 中的内容，我一直无法确定 requests
python - 在 POST 请求(python 请求)后获取响应/返回值
我正在尝试将图像发送到我的 API，然后从中获取结果。例如，我使用发送一个 bmp 图像文件 file = {"img": open("img.bmp)} r = requests.post(url,
azure - Azure 中两个虚拟机之间的内部 HTTP 请求 - 默认情况下安全还是需要发送 HTTPS 请求？
我发现 Google Cloud 确保移出其物理环境的任何请求都经过强制加密，请参阅(虚拟机到虚拟机标题下的第 6 页)this link Azure(和 AWS)是否遵循类似的程序？如果有人能给我指
javascript - jQuery:执行同步 AJAX 请求，然后执行一系列其他 ajax 请求
我有一个 ASP.NET MVC 应用程序，我正在尝试在 javascript 函数中使用 jQuery 来创建一系列操作。该函数由三部分组成。我想做的是:如果满足某些条件，那么我想执行同步 jQu
javascript - Http 请求 - 外部 url 请求 ember js
我找不到如何执行 get http 请求，所以我希望你们能帮助我。这个想法是从外部url(例如 https://api.twitter.com/1.1/search/tweets.json?q=tw
android - 请求 READ_SMS 请求 "send and view SMS messages"
我的应用只需要使用“READ_SMS”权限。我的问题是，在 Android 6.0 上，当我需要使用新的权限系统时，它会要求用户“发送和查看短信”。这是我的代码: ActivityCompat.re
node.js - 为什么即使我的前端代码只是发出 POST 请求，浏览器也会发送 OPTIONS 请求？
我的前端代码: { this.searchInput = input; }}/> 搜索 // search method: const baseUrl = 'http://localho
c# - 将 HTTP 请求 header 添加到 WCF 请求
我有一个由 AJAX 和 C# 应用程序使用的 WCF 服务，我需要通过 HTTP 请求 header 发送一个参数。在我的 AJAX 上，我添加了以下内容并且它有效: $.ajax({
javascript - node.js + 请求 => node.js + bluebird + 请求
我正在尝试了解如何使用 promises 编写代码。请检查我的代码。这样对吗？ Node.js + 请求: request(url, function (error, response, body)
gwt - 如果失败，如何重新发送 GWT RPC 请求(或如何创建持久的 RPC 请求)？
如果失败(除 HTTP 200 之外的任何响应代码)，我需要重试发送 GWT RPC 请求。原因很复杂，所以我不会详细说明。到目前为止，我在同一个地方处理所有请求响应，如下所示: // We
php - 发起 POST 请求，执行操作，然后完成 POST 请求 - 如何？
当用户单击提交按钮时，我希望提交表单。然而，就在这种情况发生之前，我希望弹出一个窗口并让他们填写一些数据。一旦他们执行此操作并关闭该子窗口，我希望发出 POST 请求。这可能吗？如果可能的话如何？我
javascript - 什么更好？更多 HTTP 请求 = 更少的数据传输或更少的 HTTP 请求 = 更多的数据传输？
像 Facebook 这样的网站使用“延迟”加载 js。当你必须考虑到我有一台服务器，流量很大时。我很感兴趣 - 哪一个更好？当我一次执行更多 HTTP 请求时 - 页面加载速度较慢(由于限制(一
java - Servlet 容器创建 Servlet 请求/响应对象还是 HttpServlet 请求/响应对象？
Servlet 容器是否创建 ServletRequest 和 Response 对象或 Http 对象？如果是ServletRequest，谁在调用服务方法之前将其转换为HttpServletReq
php - HTTP 请求 URL 不是 HTTP 请求 header 的一部分吗？
这是维基百科文章的摘录: In contrast to the GET request method where only a URL and headers are sent to the serv
node.js - 首先完成一个 HTTP post 请求，然后再循环执行下一个 HTTP post 请求
我有一个循环，每次循环时都会发出 HTTP post 请求。 for(let i = 1; i console.log("succes at " + i), error => con

太空宇宙

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - Spring boot - 在请求参数 'null' 或 header '_csrf' 上发现无效的 CSRF token 'X-CSRF-TOKEN'