web-dev-qa-db-ja.com

Spring Security Accessは投稿後403を拒否しました

私はそれに関する他の投稿のほとんどすべてを試しましたが、私の問題に関連するものはありません。

GET(例:path/users/edit/1)を使用してURLを回復しようとすると、すべてが正常に機能し、ユーザー編集ページにリダイレクトされますが、POSTを介してこのページにアクセスしようとすると、Spring Securityによってアクセスが拒否されますページへ。

どちらのメソッドもコントローラークラスにマッピングされています。

@RequestMapping(value="/users/edit/{id}", method={RequestMethod.POST,RequestMethod.GET})
public ModelAndView login(ModelAndView model, @PathVariable("id") int id ) {
    model.addObject("user", this.userService.getUserById(id));
    model.setViewName("/users/add"); //add.jsp
    return model;
}

投稿に使用するフォーム

<f:form method="post" action="/users/edit/${user.id}">
     <button type="submit">Edit</button>
</f:form>

Spring security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">

<!-- enable use-expressions -->
<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/secure**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
    <intercept-url pattern="/secure/users**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />

    <!-- access denied page -->
    <access-denied-handler error-page="/denied" />
    <form-login 
        login-page="/home" 
        default-target-url="/secure" 
        authentication-failure-url="/home?error" 
        username-parameter="inputEmail"
        password-parameter="inputPassword" />
    <logout logout-success-url="/home?logout"  />
    <!-- enable csrf protection -->
    <csrf/>
</http>

<!-- Select users and user_roles from database -->
<authentication-manager>
    <authentication-provider>
        <password-encoder hash="md5" /> 
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query=
            "SELECT login, senha, ativo
               FROM usuarios 
              WHERE login = ?"
            authorities-by-username-query=
            "SELECT u.login, r.role
               FROM usuarios_roles r, usuarios u
              WHERE u.id = r.usuario_id
                AND u.login = ?" />
    </authentication-provider>
</authentication-manager>
javaspringspring-mvcspring-securitycsrf
13
Lucas Freitas

私は、あなたがcsrf保護を使用していることに気付きました。これは、デフォルトで、リソースを変更するすべてのHTTP動詞(PUT、POST、DELETEなど)を保護します。 Springのフォームタグを使用している場合は、csrfトークンがフォームの非表示の入力として自動的に含まれる必要があります。ブラウザでソースをチェックして、csrfトークンが存在することを確認する必要があります。そうでない場合は、次のようなものが必要になります。

<input type="hidden"
    name="${_csrf.parameterName}"
    value="${_csrf.token}"/>

csrf protection/configuration の詳細については、Springリファレンスを参照してください。

24
ikumen

私はこれが古い投稿であることを知っていますが、私のように検索中に誰かがこれに遭遇した場合に備えて投稿したいと思います。

WebSecurityConfigurerAdapterを拡張するクラスに適切な注釈があることを確認してください

@Configuration

@EnableWebSecurity

私はこれらを逃し、存在しない問題に取り組むために数時間を費やしました。

0
Grant Murphy

<sec:csrfInput/>タグは次のとおりです。

    <f:form method="post" action="/users/edit/${user.id}">
        <button type="submit">Edit</button>
        <sec:csrfInput/>
    </f:form>

そして、春のセキュリティタグを必ずインポートしてください

<%@ taglib uri="http://www.springframework.org/security/tags" prefix="sec" %>
0
Ahmad Al-Kurdi