我已经在我的spring boot应用程序中实现了togglz。我什至可以访问Togglz控制台,并且已经使用FeatureManager测试了这些限制。但是,如果转到togglz控制台并尝试更改激活策略或启用/禁用功能,则会显示403 Forbidden错误页面。
换句话说,我可以访问/ togglz / index但不能访问/调用/ togglz / edit
在我的WebMvcConfigurer类中:
@Bean
public FilterRegistrationBean<TogglzFilter> togglzRegistration() {
FilterRegistrationBean<TogglzFilter> reg = new FilterRegistrationBean<>();
reg.setFilter(new TogglzFilter());
reg.addUrlPatterns("/*");
reg.setName("TogglzFilter");
return reg;
}
@Bean
public ServletRegistrationBean<TogglzConsoleServlet> togglzConsoleServlet() {
ServletRegistrationBean<TogglzConsoleServlet> reg = new ServletRegistrationBean<>();
reg.setServlet(new TogglzConsoleServlet());
reg.setName("TogglzConsoleServlet");
reg.addUrlMappings("/togglz/*");
return reg;
}
在我的TogglzConfiguration中:
@Component
public class TogglzConfiguration implements TogglzConfig {
private static final Logger LOGGER = LoggerFactory.getLogger(TogglzConfiguration.class);
@Autowired
private ResourceLoader resourceLoader;
@Override
public Class<? extends Feature> getFeatureClass() {
return Features.class;
}
@Override
public StateRepository getStateRepository() {
try {
return new FileBasedStateRepository(
resourceLoader.getResource("classpath:/togglz.properties").getFile()
);
} catch (IOException ex) {
LOGGER.error(ex.getMessage(),ex);
throw new RuntimeException(ex);
}
}
@Override
public UserProvider getUserProvider() {
return new UserProvider() {
@Override
public FeatureUser getCurrentUser() {
return new SimpleFeatureUser("admin", true);
}
};
}
}
我的特色课程:
public enum Features implements Feature {
@Label("Inventory Initiation")
@TestingUI
TESTING_UI_INITIATE_INVENTORY,
@Label("Random Warehouse Creation")
@TestingUI
TESTING_UI_CREATE_WAREHOUSE
;
public boolean isActive() {
return FeatureContext.getFeatureManager().isActive(this);
}
}
答案 0 :(得分:1)
您似乎在应用程序中使用某种CSRF保护。至少这可以解释为什么只有POST请求被破坏了。
Togglz控制台提供了一个SPI,用于获取需要嵌入以下形式的CSRF令牌:
Togglz附带对Spring Security CSRF保护的支持:
Togglz使用JDK的ServiceLoader工具查找提供程序。因此,在Spring Security的情况下,仅存在一个引用实现类的文件:
因此,如果您想将某些第三方CSRF保护框架与Togglz集成,则必须:
CSRFTokenProvider META-INF/services/org.togglz.servlet.spi.CSRFTokenProvider,并在其中添加实现类的标准类名。答案 1 :(得分:0)
您在application.yml中对togglz进行哪些配置?您最有可能在此丢失secure: false:
togglz:
enabled: true
console:
enabled: true
secured: false
答案 2 :(得分:0)
这里也一样。由于我是 Java 和 Spring 的新手,所以在尝试从 @chkal 解决方案实现 CSRFTokenProvider 时我卡住了。
所以我点击了 Togglz API 来启用/禁用一个功能。两者都返回 200 OK 的 HTML 内容(类似于来自 togglz 控制台的索引页)。
启用
curl --location --request POST '{host}/{context_path}/togglz-console/edit?f=FEATURE_ONE&enabled=enabled'
禁用
curl --location --request POST '{host}/{context_path}/togglz-console/edit?f=FEATURE_ONE'
应用程序.yml
...
togglz:
console:
enabled: true
path: /togglz-console
secured: false
use-management-port: false
features:
FEATURE_ONE:
enabled: true
build.gradle
...
implementation "org.togglz:togglz-spring-boot-starter:2.6.1.Final"
implementation "org.togglz:togglz-console:2.6.1.Final"
implementation "org.togglz:togglz-spring-security:2.6.1.Final"
注意:这不是在回答上面的问题,但可以作为替代
更新:我遇到过这种情况,因为我的 InputStream 已被读取(由过滤器 bean)并且只读取一次
答案 3 :(得分:0)
我已通过属性文件禁用了 togglz 中的 csrf 保护:
togglz.console.validate-c-s-r-f-token=false
如果您使用 yaml 而不是属性文件,该文件应如下所示:
...
togglz:
console:
validate-c-s-r-f-token: false
您应该注意,不建议禁用 csrf 令牌验证,因为这会降低应用程序的安全性。