Springboot Angular安全-REST调用禁止403

时间:2018-09-17 19:53:15

标签: angular spring-boot spring-security oauth-2.0 openid-connect

我们有一个Springboot 2.0.x和Angular 6多模块应用程序,使用OAuth2标准的OpenID Connect 1.0实现作为安全性。 初始安全性可以工作,进行身份验证和授权,并可以进入主页。但是由于某种原因,我们的POST和DELETE REST调用为经过身份验证和授权的用户获取了403禁止状态代码。 GET调用不受影响,仍然可以使用。

有人对此有任何想法吗? 我们没有任何角色可以过滤任何用户可以执行的操作。 只是所有用户在通过身份验证和授权后都可以进行POST,DELETE和GET。

这是SecurityConfig:

@Override
public void configure(WebSecurity web) throws Exception {
    System.out.println("Error!!/resources/**");
    web.ignoring().antMatchers("/resources/**");
}

@Bean
public OpenIdConnectFilter myFilter() {
    final OpenIdConnectFilter filter = new OpenIdConnectFilter("/auth/sso/callback");
    filter.setRestTemplate(restTemplate);
    return filter;
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // @formatter:off
    http
    .addFilterAfter(new OAuth2ClientContextFilter(), AbstractPreAuthenticatedProcessingFilter.class)
    .addFilterAfter(myFilter(), OAuth2ClientContextFilter.class)
    .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/auth/sso/callback"))
    // .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/google-login"))
    .and()
    .authorizeRequests()
    .antMatchers("/errorPage").permitAll()
    .anyRequest().authenticated()
    ;
    // @formatter:on
}

POST签名:

@PostMapping("/spreadsheet/upload/{uploader}/{filename}")
public ResponseEntity<?> uploadSpreadsheet(@RequestBody MultipartFile file, @PathVariable("uploader") String uploader, @PathVariable("filename") String filename) {

删除签名:

@DeleteMapping("/spreadsheet/{uploader}/{filename}")
public ResponseEntity<?> deleteUploadedSpreadsheet(@PathVariable(value = "uploader") String uploader, @PathVariable String filename) {

1 个答案:

答案 0 :(得分:1)

找到了罪魁祸首, 这是由于CSRF,不知道默认情况下已配置和启用它。一旦我们通过添加

禁用了该功能
 .and().csrf().disable()

@Override
protected void configure(HttpSecurity http) throws Exception {
    // @formatter:off
    http
    .addFilterAfter(new OAuth2ClientContextFilter(), AbstractPreAuthenticatedProcessingFilter.class)
    .addFilterAfter(myFilter(), OAuth2ClientContextFilter.class)
    .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/auth/sso/callback"))
    // .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/google-login"))
    .and()
    .authorizeRequests()
    .antMatchers("/errorPage").permitAll()
    .anyRequest().authenticated()
    .and().csrf().disable()
    ;
    // @formatter:on
}

POST和DELETE再次起作用。 但是,当然,此解决方案禁用了这部分安全性。但是,现在我们知道了,我们只需要配置csrf就可以在不禁止POST和DELETE的情况下为该应用程序工作。

谢谢