Spring Boot使用Spring Security POST无法访问解决方案

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity，但是在使用的过程中发现一个问题，就是get请求可以正常访问，而post的请求却无法访问。

再三检查了对url路径权限的匹配，都没有问题。上篇文章中对应的SecurityConfig配置如下：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

api的post请求返回结果信息如下：

{
  "timestamp": "2020-03-24T12:44:12.782+0000",
  "status": 403,
  "error": "Forbidden",
  "message": "Forbidden",
  "path": "/api/check"
}

也就是说由于权限问题导致请求失败，返回403错误。

针对这个问题，最主要的原因是：SpringSecrity默认开启CSRF保护。

CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式。

可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。

那么如何解决呢？方案有两种：

方案一：简单直接，禁用CSRF。修改之后的代码如下：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.csrf().disable();
		http.authorizeRequests()
				.antMatchers("/api/**").permitAll() 
				.anyRequest().authenticated()
				.and()
				.formLogin()
				.permitAll();
	}
}

也就是添加了一行http.csrf().disable();。

方案二：重写CSRF保护策略。示例代码如下：

扫描二维码关注公众号，回复： 10130943 查看本文章

import org.springframework.security.web.util.matcher.RequestMatcher;
 
import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;
 
public class CsrfSecurityRequestMatcher implements RequestMatcher {
 
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
 
    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//（不允许post请求的url路径）此处根据自己的需求做相应的逻辑处理
 
        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}

经过以上两种方案解决之后，错误也就消失了。
原文链接：《Spring Boot使用Spring Security POST无法访问解决方案》

精品SpringBoot 2.x视频教程

《Spring Boot 2.x 视频教程全家桶》，精品Spring Boot 2.x视频教程，打造一套最全的Spring Boot 2.x视频教程。

---

程序新视界
公众号“程序新视界”，一个让你软实力、硬技术同步提升的平台