我正在开发受 Spring Security 保护的 Spring Boot 应用程序。这是安全配置的一部分:
@Override
public void configure(HttpSecurity http) throws Exception {
// @formatter:off
http
// .csrf().ignoringAntMatchers("/dashboard")
// .and()
.httpBasic()
.and()
.headers().frameOptions().disable()
.and()
.antMatcher("/**").authorizeRequests()
.antMatchers("/VAADIN/**", "/PUSH/**", "/UIDL/**").permitAll()
.antMatchers("/vaadinServlet/UIDL/**").permitAll()
.antMatchers("/vaadinServlet/HEARTBEAT/**").permitAll()
.antMatchers("/actuator/health").permitAll()
.antMatchers("/actuator/**").hasAuthority(Authority.Type.ROLE_ADMIN.getName())
.antMatchers("/", "/login**", "/index.html", "/home.html").permitAll()
.and()
.logout().logoutSuccessUrl("/").permitAll()
.and()
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
.addFilterBefore(ssoFilter(), BasicAuthenticationFilter.class);
// @formatter:on
}
我将实施一些管理仪表板来使用 VAADIN 管理我的应用程序。我读过“在 Spring 或 Vaadin 中禁用 CSRF 保护。如果你都打开了,你的应用程序将无法工作。 ”。
在我的情况下,我需要在 Vaadin 中禁用 CSRF 保护,但我找不到如何使用 Java 配置来做到这一点。
此刻我得到:https://127.0.0.1:8443/vaadinServlet/UIDL/?v-wsver=7.5.5&v-uiId=0 “通信错误:无法从服务器读取 UIDL。检查 servlet 映射。错误代码:403",在从主视图导航到其他视图期间。(例如:/dashboard#!myview)。这是因为AccessDeniedHandlerImpl调用了句柄方法。我尝试使用以下语句解决此问题,但没有帮助:
.antMatchers("/vaadinServlet/UIDL/**").permitAll()
.antMatchers("/vaadinServlet/HEARTBEAT/**").permitAll()
所以,请帮我解决这两个问题:
- 使用 java config 在 VAADIN 中禁用 CSRF。
- 解决视图导航问题。
谢谢