Spring security开启remember me功能,配置session超时,导致csrf验证失败

2024-01-03 23:32
文章标签 java 配置 功能 spring 验证 开启 导致 session 失败 超时 csrf security remember

本文主要是介绍Spring security开启remember me功能,配置session超时,导致csrf验证失败,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。

配置remember me + session超时

后端

public class HttpSecurityConfigurer {@Overridepublic void configure(HttpSecurity http) throws Exception {http//....anyRequest().authenticated().and().rememberMe().tokenValiditySeconds(86400)//...}
}
# resources/config/application-dev.yml
server:port: 8080servlet:session:timeout: 80s # 超时时间80s

5.2.2前端

登录的URL中增加 remember-me请求参数

&remember-me=${encodeURIComponent(data['remember-me'])}`;

解决方案

移动端无法读取cookie中的csrf的token增加到请求的header中,可以使用本解决方案。

只有在用户登录成功后,才生成csrf的token增加到cookie中,并且将csrf的token增加到用户响应信息中。前端发起请求的时候,从用户信息中获取csrf的token,增加到请求的header中。

5.4.2.后端

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import com.fasterxml.jackson.databind.ObjectMapper;/*** 登录成功后保持token** */
public class AjaxAuthenticationSuccessCustomizerHandler extends AjaxAuthenticationSuccessHandler {private ObjectMapper mapper;private CsrfTokenRepository csrfTokenRepository;private OnAuthenticationSuccessResponseProvider successResponseProvider;public AjaxAuthenticationSuccessCustomizerHandler(ObjectMapper mapper,OnAuthenticationSuccessResponseProvider successResponseProvider) {super(mapper, successResponseProvider);}public AjaxAuthenticationSuccessCustomizerHandler(ObjectMapper mapper,OnAuthenticationSuccessResponseProvider successResponseProvider,CsrfTokenRepository csrfTokenRepository) {super(mapper, successResponseProvider);this.mapper = mapper;this.successResponseProvider = successResponseProvider;this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication)throws IOException, ServletException {response.setStatus(HttpServletResponse.SC_CREATED);// 用户响应信息设置TOKENclearAuthenticationAttributes(request);}private String generateToken(HttpServletRequest request, HttpServletResponse response) {CsrfTokenCustomizer newToken = (CsrfTokenCustomizer) csrfTokenRepository.generateToken(request);newToken.setCanSave(true);csrfTokenRepository.saveToken(newToken, request, response);request.setAttribute(CsrfToken.class.getName(), newToken);request.setAttribute(newToken.getParameterName(), newToken);return newToken.getToken();}
}
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.core.Authentication;
import org.springframework.security.web.csrf.CsrfTokenRepository;/*** 删除csrfToken**/
public class AjaxLogoutSuccessCustomizerHandler extends AjaxLogoutSuccessHandler {private CsrfTokenRepository csrfTokenRepository;public AjaxLogoutSuccessCustomizerHandler(CsrfTokenRepository csrfTokenRepository) {this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication)throws IOException, ServletException {if (csrfTokenRepository instanceof CookieCsrfTokenCustomizerRepository) {CookieCsrfTokenCustomizerRepository repositoryCustomizer = (CookieCsrfTokenCustomizerRepository) csrfTokenRepository;repositoryCustomizer.clearToken(null, request, response);}super.onLogoutSuccess(request, response, authentication);}
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.web.csrf.CookieCsrfTokenRepository;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;/*** 根据Token中标识判断是否可以保持** */
public class CookieCsrfTokenCustomizerRepository implements CsrfTokenRepository {private CsrfTokenRepository cookieCsrfTokenRepository;public CookieCsrfTokenCustomizerRepository(CookieCsrfTokenRepository cookieCsrfTokenRepository) {this.cookieCsrfTokenRepository = cookieCsrfTokenRepository;}@Overridepublic CsrfToken generateToken(HttpServletRequest request) {CsrfToken csrfToken = cookieCsrfTokenRepository.generateToken(request);return new CsrfTokenCustomizer(csrfToken);}@Overridepublic void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {if (token == null) {return;}if (token instanceof CsrfTokenCustomizer) {CsrfTokenCustomizer myCsrfToken = (CsrfTokenCustomizer) token;if (!myCsrfToken.isCanSave()) {return;}}cookieCsrfTokenRepository.saveToken(token, request, response);}public void clearToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {cookieCsrfTokenRepository.saveToken(token, request, response);}@Overridepublic CsrfToken loadToken(HttpServletRequest request) {return cookieCsrfTokenRepository.loadToken(request);}
}
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.web.csrf.CookieCsrfTokenRepository;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import com.fasterxml.jackson.databind.ObjectMapper;/*** csrf的配置**/
@Configuration
public class CsrfCustomizerConfiguration {@Beanpublic CsrfTokenRepository csrfTokenRepository() {CookieCsrfTokenRepository cookieCsrfTokenRepository = CookieCsrfTokenRepository.withHttpOnlyFalse();cookieCsrfTokenRepository.setHeaderName("X-CSRF-TOKEN");cookieCsrfTokenRepository.setCookiePath("/");return new CookieCsrfTokenCustomizerRepository(cookieCsrfTokenRepository);}
}
import org.springframework.security.web.csrf.CsrfToken;/*** 增加能否保持的标志** */
public class CsrfTokenCustomizer implements CsrfToken {private final CsrfToken csrfToken;private boolean canSave = false;public CsrfTokenCustomizer(CsrfToken csrfToken) {this.csrfToken = csrfToken;}@Overridepublic String getHeaderName() {return this.csrfToken.getHeaderName();}@Overridepublic String getParameterName() {return this.csrfToken.getParameterName();}@Overridepublic String getToken() {return this.csrfToken.getToken();}public boolean isCanSave() {return canSave;}public void setCanSave(boolean canSave) {this.canSave = canSave;}
}

public class HttpSecurityConfigurer {//...private final CsrfTokenRepository csrfTokenRepository;public HttpSecurityConfigurer(//...CsrfTokenRepository csrfTokenRepository) {//...this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void configure(HttpSecurity http) throws Exception {http.csrf()//  ....csrfTokenRepository(csrfTokenRepository)//  ...}
}

这篇关于Spring security开启remember me功能,配置session超时,导致csrf验证失败的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/567425

相关文章

Spring Boot项目部署命令java -jar的各种参数及作用详解

Spring Boot项目部署命令java -jar的各种参数及作用详解

《SpringBoot项目部署命令java-jar的各种参数及作用详解》:本文主要介绍SpringBoot项目部署命令java-jar的各种参数及作用的相关资料,包括设置内存大小、垃圾回收... 目录前言一、基础命令结构二、常见的 Java 命令参数1. 设置内存大小2. 配置垃圾回收器3. 配置线程栈大小
阅读更多...
SpringBoot实现微信小程序支付功能

SpringBoot实现微信小程序支付功能

《SpringBoot实现微信小程序支付功能》小程序支付功能已成为众多应用的核心需求之一,本文主要介绍了SpringBoot实现微信小程序支付功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作... 目录一、引言二、准备工作(一)微信支付商户平台配置(二)Spring Boot项目搭建(三)配置文件
阅读更多...
鸿蒙中Axios数据请求的封装和配置方法

鸿蒙中Axios数据请求的封装和配置方法

《鸿蒙中Axios数据请求的封装和配置方法》:本文主要介绍鸿蒙中Axios数据请求的封装和配置方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录1.配置权限 应用级权限和系统级权限2.配置网络请求的代码3.下载在Entry中 下载AxIOS4.封装Htt
阅读更多...
解决SpringBoot启动报错:Failed to load property source from location 'classpath:/application.yml'

解决SpringBoot启动报错:Failed to load property source from location 'classpath:/application.yml'

《解决SpringBoot启动报错:Failedtoloadpropertysourcefromlocationclasspath:/application.yml问题》这篇文章主要介绍... 目录在启动SpringBoot项目时报如下错误原因可能是1.yml中语法错误2.yml文件格式是GBK总结在启动S
阅读更多...
Spring中配置ContextLoaderListener方式

Spring中配置ContextLoaderListener方式

《Spring中配置ContextLoaderListener方式》:本文主要介绍Spring中配置ContextLoaderListener方式,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录Spring中配置ContextLoaderLishttp://www.chinasem.cntene
阅读更多...
java实现延迟/超时/定时问题

java实现延迟/超时/定时问题

《java实现延迟/超时/定时问题》:本文主要介绍java实现延迟/超时/定时问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java实现延迟/超时/定时java 每间隔5秒执行一次,一共执行5次然后结束scheduleAtFixedRate 和 schedu
阅读更多...
Java Optional避免空指针异常的实现

Java Optional避免空指针异常的实现

《JavaOptional避免空指针异常的实现》空指针异常一直是困扰开发者的常见问题之一,本文主要介绍了JavaOptional避免空指针异常的实现,帮助开发者编写更健壮、可读性更高的代码,减少因... 目录一、Optional 概述二、Optional 的创建三、Optional 的常用方法四、Optio
阅读更多...
在Android平台上实现消息推送功能

在Android平台上实现消息推送功能

《在Android平台上实现消息推送功能》随着移动互联网应用的飞速发展,消息推送已成为移动应用中不可或缺的功能,在Android平台上,实现消息推送涉及到服务端的消息发送、客户端的消息接收、通知渠道(... 目录一、项目概述二、相关知识介绍2.1 消息推送的基本原理2.2 Firebase Cloud Me
阅读更多...
Spring Boot项目中结合MyBatis实现MySQL的自动主从切换功能

Spring Boot项目中结合MyBatis实现MySQL的自动主从切换功能

《SpringBoot项目中结合MyBatis实现MySQL的自动主从切换功能》:本文主要介绍SpringBoot项目中结合MyBatis实现MySQL的自动主从切换功能,本文分步骤给大家介绍的... 目录原理解析1. mysql主从复制(Master-Slave Replication)2. 读写分离3.
阅读更多...
idea maven编译报错Java heap space的解决方法

idea maven编译报错Java heap space的解决方法

《ideamaven编译报错Javaheapspace的解决方法》这篇文章主要为大家详细介绍了ideamaven编译报错Javaheapspace的相关解决方法,文中的示例代码讲解详细,感兴趣的... 目录1.增加 Maven 编译的堆内存2. 增加 IntelliJ IDEA 的堆内存3. 优化 Mave
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2