403错误都是资源权限的问题,从上述图看到/v3/**所有请求都Ok,所有的get请求也都ok,而不带v3的post请求报出403错误
在SpringBoot+springSecurity+Thymeleaf中
springSecurity设置拦截规则,他将会对所有http请求以及所有静态资源进行拦截,但是很多时候一些静态资源以及http请求我们并不希望他进行拦截,这时候可以在webSecurityConfig文件中进行和配置:
1.WebSecurity(.ignoring)。
2.HttpSecurity(permitAll)这两种方法中的方法都是用来放过资源的,如图:
这两种方法有非常大的不同
spring security中定义了很多的拦截器,其中有登录的还有匿名的,会拦截掉所有请求,以及资源,登录的话会走登录的拦截器,如果不登录的话就会走匿名的拦截器。但是结果发现使用permitAll方法放过请求即使登陆了,Get请求能ok,但是POST请求还是不能发出去造成了ajax请求POST失败403.这是为什么呢???
这是因为开启CSRF跨站防护,(springSecurity在2.0之后就会默认自动开启)。一旦开启了CSRF,所有经过springsecurity的http请求以及资源都被会CsrfFilter拦截,仅仅GET|HEAD|TRACE|OPTIONS这4类方法会被放行,也就是说post,delete等方法依旧是被拦截掉的,限制了除了get以外的大多数方法,报出403错误。原理如下:CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher
private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
/* (non-Javadoc)
* @see org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.servlet.http.HttpServletRequest)
*/
public boolean matches(HttpServletRequest request) {
return !allowedMethods.matcher(request.getMethod()).matches();
}
}
实际上.ignoring它是完全绕过spring security的所有filter的;根本不会经过springSecurity的任何拦截,所以适合静态资源的放过,而在这里我配置了/v3/**,所以无论是静态资源还是请求带有/v3/的都会被放行。
而permitAll,没有绕过spring security,还是会CsrfFilter拦截
那么怎么才能让post等方法通过呢?CsrfFilter进行拦截的时候都会适配给用户一个CSRF_token,被允许的放过的url放过的仅仅是Get请求,其他请求都要验证拦截器中_csrf的token是否正确,包含登录和登出都要附加CSRF Token提交到服务端。而通常post方式调用rest服务时,又没有_csrf的token,所以校验失败。这就需要我们在发送请求时得到这个token,并且验证通过。
这时候解决办法有两种:
1.将CSRF禁用掉(默认是开启的),但是这样你的网站Springsecurity也就失去了跨站防护的CSRF的意义。
2.添加_csrf的token,既然他需要,那我们就给他所要的。(1)使用Thymeleaf模板提交表单(th:action)的话表单里自动添加CSRF令牌,你可以在网页中查看表单中是不是多了类似
的一行。(2)非此模板引擎的话。需要手动在表单当中添加。
�
