Spring Boot, Spring Security и Thymeleaf: Применить CsrfFilter на веб-сайт с формой

Question

Я использую Spring Security с Thymeleaf и хочу создать логин и регистрационную форму на разных сайтах, которые делают использование CSRF-защиты. Защита сайта входа в систему легко, как и с конфигурацией folloing WebSecurity

@Override 
protected void configure(final HttpSecurity http) throws Exception { 
    http 
      .formLogin() 
      .loginPage("/login") 
      .permitAll() 
      .and() 
      .requestMatchers() 
      .antMatchers("/login", "/oauth/authorize", "/oauth/confirm_access") 
      .and() 
      .authorizeRequests() 
      .anyRequest() 
      .authenticated(); 
} 

Spring поддерживает добавление защиты от CSRF в целом по цепочке фильтров безопасности, который строится в методе конфигурирования. Эта цепочка фильтров содержит CSRFFilter, который добавляет/оценивает токен CSRF. Эта цепочка фильтров затем используется для всех совпадений, определенных в приведенной выше конфигурации. Механизм получения фильтров, которые применяются к запросу могут быть найдены here в методе

doFilterInternal(ServletRequest, ServletResponse, FilterChain)

проблема, если добавить «/ зарегистрировать» сайт этой конфигурации, пользователь перенаправляется сначала "/ login". Если я не добавлю его к вышеуказанной конфигурации, упомянутый фильтр FilterChain не применяется (и не CsrfFilter).

Так что я хочу, чтобы повторно использовать CsrfFilter в цепочке фильтров на сайте «/ register», но я не знаю, как это сделать.

Я бы предпочел этот подход к другим идеям, например, написать собственный фильтр CSRF, как предложено here или here.

Answer 1

Оказалось, что Спринг цепь фильтра безопасности применяется ко всем конечным точкам, указанным в списке, предоставляемой requestMatchers() antMatchers().

Таким образом, чтобы использовать защиту CSRF для сайта, который не является сайтом входа в систему, мне просто нужно было добавить его в этот список, а затем разрешить доступ к нему, так что переадресация на страницу входа не будет. Моя окончательная конфигурация выглядит так:

@Override 
protected void configure(final HttpSecurity http) throws Exception { 
    http.requestMatchers() 
      // consider these patterns for this config and the Security Filter Chain 
      .antMatchers("/login", "/register", "/oauth/authorize", "/oauth/confirm_access", "/oauth/token_key", 
        "/oauth/check_token", "/oauth/error") 
      .and() 
      // define authorization behaviour 
      .authorizeRequests() 
      // /register is allowed by anyone 
      .antMatchers("/register").permitAll() 
      // /oauth/authorize needs authentication; enables redirect to /login 
      .antMatchers("/oauth/authorize").authenticated() 
      // any other request in the patterns above are forbidden 
      .anyRequest().denyAll() 
      .and() 
      .formLogin() 
      // we have a custom login page at /login 
      // that is permitted to everyone 
      .loginPage("/login").permitAll(); 
} 

Answer 2

Из всего этого я понял, что проблема в том, что вы хотите, чтобы люди обращались/регистрировались без необходимости входа в систему. Что это легко исправить:.

@Override 
protected void configure(final HttpSecurity http) throws Exception { 
    http 
      .formLogin() 
      .loginPage("/login") 
      .permitAll() 
      .and() 
      .requestMatchers() 
// add this line 
.antMatchers("/register").permitAll().and 

// 
      .antMatchers("/login", "/oauth/authorize", "/oauth/confirm_access") 
      .and() 
      .authorizeRequests() 
      .anyRequest() 
      .authenticated(); 
}