2

我对使用 CSRF 的 AngularJS 的 Spring Security 有疑问。

我的实现基于此文档:

http://spring.io/guides/tutorials/spring-security-and-angular-js/

我的问题是登录/注销过程没有正确管理。

登录阶段似乎进展顺利:响应正常,创建了 Java 会话,并且记录了Principal的属性“ SPRING_SECURITY_CONTEXT ” 。但是在登录过程之后,我注意到在会话对象中缺少 CSFR_TOKEN的属性。

这会导致这种效果:当我尝试注销时,我传递了带有 Spring Security 所需的所有标头的请求。但是org.springframework.security.web.csrf.CsrfFilter类的“ doFilterInternal ”方法无法检索到属性:

org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN

这会导致令牌的重新生成,因为“令牌丢失”(在会话对象中,而不是在请求标头中),所以当“doFilterInternal”使用请求中传递的令牌进行匹配控制时,匹配失败并在它打印的 Spring 日志:“为 ...找到了无效的 CSRF 令牌”

这个问题停止了过滤器链:在自定义“csrfHeaderFilter”中创建的过滤器没有被调用,因为在标准过滤器之后被调用,所以我有这个错误页面作为返回:

HTTP 状态 403 - 未找到预期的 CSRF 令牌。你的会话过期了吗?

会话未过期。事实上,如果我在浏览器上刷新页面,我可以看到我仍然处于登录状态。在日志中我可以看到用户名仍然存在,并且在会话中完美地保存了 Principal 对象。

如果我在页面刷新重试注销,注销不会再失败,因为在会话中现在存在属性“CSRF_TOKEN” 。并且注销过程得到了完美的管理,因为在那之后我的请求中有一个空会话。

那有什么问题?

这是我的实际安全配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTargetClass = true)
public class SecurityContextConfig extends WebSecurityConfigurerAdapter{

    @Resource(name = "myUserDetailService")
    private UserDetailsService userDetailsService;

    @Bean
    public static StandardPasswordEncoder passwordEncoder() throws Exception {
        return new StandardPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setPasswordEncoder(passwordEncoder());
        provider.setUserDetailsService(userDetailsService);
        auth.authenticationProvider(provider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/main.html","/pages/**").permitAll()
            .anyRequest().authenticated().and()
        .httpBasic()
            .and()
        .csrf()
            .csrfTokenRepository(csrfTokenRepository()).and()
            .addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
        .logout()
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
            .logoutSuccessUrl("/main.html");
    }

    private Filter csrfHeaderFilter() {
        return new OncePerRequestFilter() {
            @Override
            protected void doFilterInternal(HttpServletRequest request,
                    HttpServletResponse response, FilterChain filterChain)
                    throws ServletException, IOException {
                CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
                        .getName());
                if (csrf != null) {
                    Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
                    String token = csrf.getToken();
                    if (cookie == null || token != null
                            && !token.equals(cookie.getValue())) {
                        cookie = new Cookie("XSRF-TOKEN", token);
                        cookie.setPath("/");
                        response.addCookie(cookie);
                    }
                }
                filterChain.doFilter(request, response);
            }
        };
    }

    private CsrfTokenRepository csrfTokenRepository() {
          HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
          repository.setHeaderName("X-XSRF-TOKEN");
          return repository;
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
            .ignoring()
                .antMatchers("/resources/**");
    }

    @Bean(name="authenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    @Autowired
    public void setObjectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
        super.setObjectPostProcessor(objectPostProcessor);
    }
}

这些是第一次注销尝试时的请求标头(不刷新)

HTTP Status 403 - Expected CSRF token not found. Has your session expired?

Request URL:https://localhost:8080/myApp/logout
Request Method:POST
Status Code:403 Forbidden
Remote Address:[::1]:8080

Request Headers
view source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip, deflate
Accept-Language:it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:2
Content-Type:application/json;charset=UTF-8
Cookie:JSESSIONID=DFE1A9492F421EDBAEC0DAE6726BFDC4; XSRF-TOKEN=70e2a706-db6d-4f53-b39f-01f6f10b6af1
Host:localhost:8080
Origin:https://localhost:8080
Referer:https://localhost:8080/myApp/main.html
User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
X-Requested-With:XMLHttpRequest
X-XSRF-TOKEN:70e2a706-db6d-4f53-b39f-01f6f10b6af1

Response Headers
view source
Cache-Control:no-cache, no-store, max-age=0, must-revalidate
Content-Language:en
Content-Length:1116
Content-Type:text/html;charset=utf-8
Date:Tue, 19 Apr 2016 12:51:09 GMT
Expires:0
Pragma:no-cache
Server:Apache-Coyote/1.1
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-XSS-Protection:1; mode=block
4

1 回答 1

1

我自己解决了。

问题出在客户端,我在登录后省略了对 url 'user/' 的 http 获取。如果没有此调用,则 CSRF_TOKEN 不会在会话中重新保存,从而导致服务器端在注销过程中出现问题。

在此修复后,行为是正确的,并且可以完美运行。

因此,按照 Spring-AngularJS 教程,调用 url 'user',如果 esit OK,然后调用 url 'user/'。

于 2016-04-20T13:17:34.620 回答