У меня проблема с Spring Security с AngularJS с использованием CSRF.
Моя реализация основана на этой документации:
http://spring.io/guides/tutorials/spring-security-and-angular-js/
Моя проблема в том, что процесс login/logout управляется неправильно.
Фаза входа проходит нормально: ответ в порядке, сеанс Java создан, и есть атрибут "SPRING_SECURITY_CONTEXT" с зарегистрированным Principal. Но после входа в систему я заметил, что в объекте сеанса отсутствует атрибут CSFR_TOKEN.
Это вызывает такой эффект: когда я пытаюсь выйти из системы, я передаю запрос со всеми заголовками, необходимыми для Spring Security. Но метод doFilterInternal класса org.springframework.security.web.csrf.CsrfFilter не может получить атрибут:
org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN
Это вызывает перегенерацию токена, потому что "токен отсутствует" (в объекте сеанса, а не в заголовках запроса), поэтому, когда "doFilterInternal" выполняет сопоставление элемента управления с токеном, переданным в запросе , сопоставление не удается, и в журнале Spring печатается: "Неверный токен CSRF найден для..."
Эта проблема останавливает цепочку фильтров: фильтр, созданный в пользовательском «csrfHeaderFilter», не вызывается, потому что вызывается после стандартного фильтра, поэтому у меня есть эта страница ошибки в качестве возврата:
Статус HTTP 403 — ожидаемый токен CSRF не найден. Срок действия вашего сеанса истек?
Срок действия сеанса не истек. На самом деле, если я обновлю страницу в браузере, я увижу, что я все еще в системе. А в логах вижу, что юзернейм еще присутствует, а в сессии прекрасно сохраняется объект Principal.
Если я повторю попытку выхода ПОСЛЕ обновления страницы, выход больше не будет завершаться ошибкой, потому что в сеансе теперь присутствует атрибут "CSRF_TOKEN". И процесс выхода управляется отлично, потому что после этого у меня в запросе пустая сессия.
Что не так?
Вот моя фактическая конфигурация безопасности:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTargetClass = true)
public class SecurityContextConfig extends WebSecurityConfigurerAdapter{
@Resource(name = "myUserDetailService")
private UserDetailsService userDetailsService;
@Bean
public static StandardPasswordEncoder passwordEncoder() throws Exception {
return new StandardPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setPasswordEncoder(passwordEncoder());
provider.setUserDetailsService(userDetailsService);
auth.authenticationProvider(provider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/main.html","/pages/**").permitAll()
.anyRequest().authenticated().and()
.httpBasic()
.and()
.csrf()
.csrfTokenRepository(csrfTokenRepository()).and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
.logoutSuccessUrl("/main.html");
}
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
@Override
public void configure(WebSecurity web) throws Exception {
web
.ignoring()
.antMatchers("/resources/**");
}
@Bean(name="authenticationManager")
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
@Autowired
public void setObjectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
super.setObjectPostProcessor(objectPostProcessor);
}
}
Это заголовки запроса при первой попытке выхода из системы (без обновления).
HTTP Status 403 - Expected CSRF token not found. Has your session expired?
Request URL:https://localhost:8080/myApp/logout
Request Method:POST
Status Code:403 Forbidden
Remote Address:[::1]:8080
Request Headers
view source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip, deflate
Accept-Language:it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:2
Content-Type:application/json;charset=UTF-8
Cookie:JSESSIONID=DFE1A9492F421EDBAEC0DAE6726BFDC4; XSRF-TOKEN=70e2a706-db6d-4f53-b39f-01f6f10b6af1
Host:localhost:8080
Origin:https://localhost:8080
Referer:https://localhost:8080/myApp/main.html
User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
X-Requested-With:XMLHttpRequest
X-XSRF-TOKEN:70e2a706-db6d-4f53-b39f-01f6f10b6af1
Response Headers
view source
Cache-Control:no-cache, no-store, max-age=0, must-revalidate
Content-Language:en
Content-Length:1116
Content-Type:text/html;charset=utf-8
Date:Tue, 19 Apr 2016 12:51:09 GMT
Expires:0
Pragma:no-cache
Server:Apache-Coyote/1.1
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-XSS-Protection:1; mode=block