除了一个URL,我想为整个应用程序启用oauth2。
我的配置:
@EnableWebFluxSecurity
class SecurityConfig {
@Bean
fun securityWebFilterChain(http: ServerHttpSecurity) =
http
.authorizeExchange()
.pathMatchers("/devices/**/register").permitAll()
.and()
.oauth2Login().and()
.build()
}
application.yml:
spring.security.oauth2.client.registration.google.client-id: ...
spring.security.oauth2.client.registration.google.client-secret: ...
所有路径都由oauth2保护,但问题是,当我调用允许的/devices/123/register端点时,得到的响应是:
CSRF Token has been associated to this client
我需要以其他方式配置此路径吗?
答案 0 :(得分:1)
permitAll仅是关于权限的声明-像XSS和CSRF一样,所有典型的Web应用程序漏洞仍然得到缓解。
如果您试图表明/devices/**/register应该完全被Spring Security忽略,那么您可以这样做:
http
.securityMatcher(new NegatedServerWebExchangeMatcher(
pathMatchers("/devices/**/register")))
... omit the permitAll statement
但是,如果您仍然希望该端点获取安全响应标头,而不是CSRF保护,则可以执行以下操作:
http
.csrf()
.requireCsrfProtectionMatcher(new NegatedServerWebExchangeMatcher(
pathMatchers("/devices/**/register")))
... keep the permitAll statement