我们有一个Springboot 2.0.x和Angular 6多模块应用程序,使用OAuth2标准的OpenID Connect 1.0实现作为安全性。 初始安全性可以工作,进行身份验证和授权,并可以进入主页。但是由于某种原因,我们的POST和DELETE REST调用为经过身份验证和授权的用户获取了403禁止状态代码。 GET调用不受影响,仍然可以使用。
有人对此有任何想法吗? 我们没有任何角色可以过滤任何用户可以执行的操作。 只是所有用户在通过身份验证和授权后都可以进行POST,DELETE和GET。
这是SecurityConfig:
@Override
public void configure(WebSecurity web) throws Exception {
System.out.println("Error!!/resources/**");
web.ignoring().antMatchers("/resources/**");
}
@Bean
public OpenIdConnectFilter myFilter() {
final OpenIdConnectFilter filter = new OpenIdConnectFilter("/auth/sso/callback");
filter.setRestTemplate(restTemplate);
return filter;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.addFilterAfter(new OAuth2ClientContextFilter(), AbstractPreAuthenticatedProcessingFilter.class)
.addFilterAfter(myFilter(), OAuth2ClientContextFilter.class)
.httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/auth/sso/callback"))
// .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/google-login"))
.and()
.authorizeRequests()
.antMatchers("/errorPage").permitAll()
.anyRequest().authenticated()
;
// @formatter:on
}
POST签名:
@PostMapping("/spreadsheet/upload/{uploader}/{filename}")
public ResponseEntity<?> uploadSpreadsheet(@RequestBody MultipartFile file, @PathVariable("uploader") String uploader, @PathVariable("filename") String filename) {
删除签名:
@DeleteMapping("/spreadsheet/{uploader}/{filename}")
public ResponseEntity<?> deleteUploadedSpreadsheet(@PathVariable(value = "uploader") String uploader, @PathVariable String filename) {
答案 0 :(得分:1)
找到了罪魁祸首, 这是由于CSRF,不知道默认情况下已配置和启用它。一旦我们通过添加
禁用了该功能 .and().csrf().disable()
在
@Override
protected void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
.addFilterAfter(new OAuth2ClientContextFilter(), AbstractPreAuthenticatedProcessingFilter.class)
.addFilterAfter(myFilter(), OAuth2ClientContextFilter.class)
.httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/auth/sso/callback"))
// .httpBasic().authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/google-login"))
.and()
.authorizeRequests()
.antMatchers("/errorPage").permitAll()
.anyRequest().authenticated()
.and().csrf().disable()
;
// @formatter:on
}
POST和DELETE再次起作用。 但是,当然,此解决方案禁用了这部分安全性。但是,现在我们知道了,我们只需要配置csrf就可以在不禁止POST和DELETE的情况下为该应用程序工作。
谢谢