java - Togglz 在功能切换时返回 403-6ren

java - Togglz 在功能切换时返回 403

转载作者：行者123 更新时间：2023-11-30 06:04:55

24

4

我已将 togglz 实现到我的 Spring Boot 应用程序中。我什至可以访问 Togglz 控制台，并且我已经使用 FeatureManager 测试了这些限制。但是，如果我转到 togglz 控制台并尝试更改激活策略或启用/禁用某个功能，我会收到 403 Forbidden 错误页面。

换句话说，我可以访问/togglz/index，但无法访问/调用/togglz/edit

在我的 WebMvcConfigurer 类中:

@Bean
public FilterRegistrationBean<TogglzFilter> togglzRegistration() {
    FilterRegistrationBean<TogglzFilter> reg = new FilterRegistrationBean<>();
    reg.setFilter(new TogglzFilter());
    reg.addUrlPatterns("/*");
    reg.setName("TogglzFilter");
    return reg;
}

@Bean
public ServletRegistrationBean<TogglzConsoleServlet> togglzConsoleServlet() {
    ServletRegistrationBean<TogglzConsoleServlet> reg = new ServletRegistrationBean<>();
    reg.setServlet(new TogglzConsoleServlet());
    reg.setName("TogglzConsoleServlet");
    reg.addUrlMappings("/togglz/*");
    return reg;
}

在我的 Togglz 配置中:

@Component
public class TogglzConfiguration implements TogglzConfig {
private static final Logger LOGGER = LoggerFactory.getLogger(TogglzConfiguration.class);

@Autowired
private ResourceLoader resourceLoader;

@Override
public Class<? extends Feature> getFeatureClass() {
    return Features.class;
}

@Override
public StateRepository getStateRepository() {
    try {
        return new FileBasedStateRepository(
                resourceLoader.getResource("classpath:/togglz.properties").getFile()
                );
    } catch (IOException ex) {
        LOGGER.error(ex.getMessage(),ex);
        throw new RuntimeException(ex);
    }

}

@Override
public UserProvider getUserProvider() {

    return new UserProvider() {
        @Override
        public FeatureUser getCurrentUser() {
                return new SimpleFeatureUser("admin", true);
        }
    };
}


}

我的功能类:

public enum Features implements Feature {

@Label("Inventory Initiation")
@TestingUI
TESTING_UI_INITIATE_INVENTORY,

@Label("Random Warehouse Creation")
@TestingUI
TESTING_UI_CREATE_WAREHOUSE
;


public boolean isActive() {
    return FeatureContext.getFeatureManager().isActive(this);
}

}

最佳答案

看起来您正在应用程序中使用某种 CSRF 保护。至少这可以解释为什么只有 POST 请求被破坏。

Togglz 控制台提供了一个 SPI，用于获取需要嵌入表单中的 CSRF token :

https://github.com/togglz/togglz/blob/master/servlet/src/main/java/org/togglz/servlet/spi/CSRFTokenProvider.java

Togglz 附带了对 Spring Security CSRF 保护的支持:

https://github.com/togglz/togglz/blob/master/spring-security/src/main/java/org/togglz/spring/security/SpringSecurityTokenProvider.java

Togglz 正在使用 JDK 的 ServiceLoader 工具来查找提供程序。因此，对于 Spring Security，只有一个引用实现类的文件:

https://github.com/togglz/togglz/blob/master/spring-security/src/main/resources/META-INF/services/org.togglz.servlet.spi.CSRFTokenProvider

因此，如果您想将某些第三方 CSRF 保护框架与 Togglz 集成，您必须:

实现CSRFTokenProvider
将文件 META-INF/services/org.togglz.servlet.spi.CSRFTokenProvider 添加到您的类路径中，并向其中添加实现类的完全限定类名。

关于java - Togglz 在功能切换时返回 403，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51534366/

24

4

0

文章推荐： java - 使用泛型类型进行 Spring 依赖注入(inject)

文章推荐： java - ContextStartedEvent 未在自定义监听器中触发

文章推荐： java - 两个数字之间的和(包括之间的数字)

文章推荐： java - Java ASM 方法的封面

eclipse - 一旦在 eclipse RCP 中安装了新的插件/功能，是否有任何方法可以自动从磁盘中清除旧的插件/功能？
我正在构建一个 RCP 应用程序，其中每个季度都会更新功能/插件。因此，如果用户选择自动更新功能/插件，则会下载更新插件的新 jar，但旧插件仍在使用我不再使用的磁盘空间。我厌倦了删除包含旧 jar
extjs - 如何从外部 Controller 功能(如sencha touch中的全局功能)调用 Controller 功能
我如何从外部 Controller 功能中调用 Controller 内部的功能，例如电话间隙回调功能这是 Controller 外部定义的功能 function onDeviceReady()
dart - 检查( native )功能/类/功能(例如 MediaSource)是否可用/受支持
如果某个功能(例如 MediaSource)可用，我如何使用 Google Dart 检查。 new MediaSource() 抛出一个错误。如何以编程方式检查此类或功能是否存在？有任何想法吗？是否
azure - Orchestrator 功能 'XYZ' 失败 : The function 'XYZ' doesn't exist, 已禁用，或者不是 Orchestrator 功能
我正在尝试运行 Azure Orchestrations，突然我开始从 statusQueryGetUri 收到错误: 协调器函数“UploadDocumentOrchestrator”失败:函数“U
iphone - 在一个可执行文件中使用 iPhone OS 3.0 功能(如果可用)和 2.1 功能(如果不可用)
我见过 iPhone 上的应用程序，如果在 3.0 上运行，将使用 3.0 功能/API，例如应用内电子邮件编辑器，如果在 2.x 上运行，则不使用这些功能，并退出应用程序以启动邮件相反。这是怎么做
功能 "normalization"
这是 DB 规范化理论中的一个概念: Third normal form is violated when a non-key field is a fact about another non-ke
正确的#if 功能
如果我定义 #if SOMETHING #endif 而且我还没有在任何地方定义 SOMETHING。 #if 中的代码会编译吗？最佳答案当#if的参数表达式中使用的名称未定义为宏时(在所有其他宏
algorithm - A* 功能
我刚刚澄清了 A* 路径查找应该如何在两条路径具有相等值的 [情况] 下运行，无论是在计算期间还是在结束时，如果有两条相等的短路径。例如，我在我的起始节点，我可以扩展到两个可能的节点，但它们都具有相
Java 功能
Java有没有类似下面的东西宏一种遍历所有私有(private)字段的方法类似于 smalltalk symbols 的东西——即用于快速比较静态字符串的东西？请注意，我正在尝试为 black
c - "while()"功能？
这个程序应该将华氏度转换为摄氏度: #include int main() { float fahrenheit, celsius; int max, min, step;
LOTO示波器软件PC缓存(波形录制与回放)功能
当打开PC缓存功能后, 软件将采用先进先出的原则排队对示波器采集的每一帧数据, 进行帧缓存。当发现屏幕中有感兴趣的波形掠过时, 鼠标点击软件的(暂停)按钮, 可以选择回看某一帧的波形
r - 自定义环境中的范围(功能)
我有一个特殊的(虚拟)函数，我想在沙盒环境中使用它: disable.system.call eval(parse(text = 'model.frame("1 ~ 1")'), envir = e
ServiceStack CORS 功能
使用新的 Service 实现，我是否必须为我的所有服务提供一个 Options 方法？使用我的所有服务当前使用的旧 ServiceBase 方法，OPTIONS 返回 OK，但没有 Access-
Clojure 线程!功能
我正在阅读 Fogus 的关于 Clojure 的喜悦的书，在并行编程章节中，我看到了一个函数定义，它肯定想说明一些重要的事情，但我不知道是什么。此外，我看不到这个函数有什么用 - 当我执行时，它什么
vim - 如何限制vim的%功能？
我有大量的 C 代码，大部分代码被注释掉和/或 #if 0。当我使用 % 键匹配 if-else 的左括号和右括号时，它也匹配注释掉的代码。有没有办法或vim插件在匹配括号时不考虑注释掉或#if 0
SML map 功能
我有这个功能: map(map(fn x =>[x])) [[],[1],[2,3,4]]; 产生: val it = [[],[[1]],[[2],[3],[4]]] 我不明白这个功能是如何工作的。
Azure 功能 - 门户代码部署功能正在跳过构建
我使用 Visual Studio 代码创建了一个函数应用程序，然后发布了它。功能应用程序运行良好。我现在在功能门户中使用代码部署功能(KUDU)并跳过构建。下面是日志 9:55:46 AM
r - R如何根据现有数据创建列/功能
我有一个数据框df: userID Score Task_Alpha Task_Beta Task_Charlie Task_Delta 3108 -8.00 Easy Easy
r - 功能:将返回的数据框保存到工作区
我真的无法解决这个问题: 我有一个返回数据框的函数。但是，数据框仅打印在我的控制台中，尽管我希望将其存储在工作空间中。我怎样才能做到这一点？样本数据: n <- 32640 t <- seq(3*p
playframework - 类型安全激活器可用的命令行选项/功能
有没有办法找出所有可能的激活器命令行选项？ activator -help仅提供最低限度的可用选项/功能列表，但所有好的东西都隐藏起来，即使在 typesafe 网站在线文档中也不可用。到目前为止，

首页

博学

6Ren·AI

商城

java - Togglz 在功能切换时返回 403