Spring Boot +セキュリティ+ ThymeleafおよびCSRFトークンが自動的に挿入されない

Question

免責事項：これを使用して手動でthymeleafを使用してトークンをフォームに挿入する方法を知っています：

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />`

この投稿の目的は、プラットフォームの知識を向上させ、SpringBoot内で何が起こっているのかをよりよく理解することです。

Spring Bootを試したことはありませんが、最近試してみることにしました。その素晴らしいことを認める必要がありますが、Spring MVCのThymeleafとSecurityを使用すると、フォームにCSRFトークンを挿入する必要がありませんでした（POST）。 Thymeleafが自動的に処理したためですが、Spring Bootでは、何らかの理由で処理されません。

Spring Boot Reference から、application.propertiesファイルで使用される一般的なプロパティのリストを見つけました。thymeleafとセキュリティに関連するものは次のとおりです。

Thymeleafのプロパティ

spring.thymeleaf.check-template-location=true spring.thymeleaf.prefix=classpath:/templates/ spring.thymeleaf.excluded-view-names= # comma-separated list of view names that should be excluded from resolution spring.thymeleaf.view-names= # comma-separated list of view names that can be resolved spring.thymeleaf.suffix=.html spring.thymeleaf.mode=HTML5 spring.thymeleaf.encoding=UTF-8 spring.thymeleaf.content-type=text/html # ;charset=<encoding> is added spring.thymeleaf.cache=true # set to false for hot refresh

セキュリティプロパティ

security.user.name=user # login username security.user.password= # login password security.user.role=USER # role assigned to the user security.require-ssl=false # advanced settings ... security.enable-csrf=false security.basic.enabled=true security.basic.realm=Spring security.basic.path= # /** security.basic.authorize-mode= # ROLE, AUTHENTICATED, NONE security.filter-order=0 security.headers.xss=false security.headers.cache=false security.headers.frame=false security.headers.content-type=false security.headers.hsts=all # none / domain / all security.sessions=stateless # always / never / if_required / stateless security.ignored= # Comma-separated list of paths to exclude from the default secured paths

しかし、Thymeleafにトークンを再度注入させる解決策がある場合、私はそれを見ることができません。

編集：構成を追加します

プロジェクトは、最後のSTSバージョン（私の意見では素晴らしい）で出荷されたイニシャライザーを使用して作成され、Web、Thymeleaf、Security、JPA、MySQL、H2、Mail、Facebook、Twitter、LinkedIn、およびActuatorの項目がチェックされています。後方にいくつかのエキストラを追加しました

近い将来Openshiftにプロジェクトをデプロイする予定であるため、Java 7とTomcat7を使用します。次に、設定ファイルがあります。

pom.xml

<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.2.3.RELEASE</version> <relativePath/> </parent> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <start-class>com.adrisasws.springmvc.WebApplication</start-class> <Java.version>1.7</Java.version> <Tomcat.version>7.0.59</Tomcat.version> </properties> <dependencyManagement> <dependencies> <dependency> <groupId>io.spring.platform</groupId> <artifactId>platform-bom</artifactId> <version>1.1.2.RELEASE</version> <type>pom</type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity3</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> <scope>runtime</scope> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-Java</artifactId> <scope>runtime</scope> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-mail</artifactId> </dependency> <dependency> <groupId>org.springframework.social</groupId> <artifactId>spring-social-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-social-facebook</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-social-linkedin</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-social-Twitter</artifactId> </dependency> <dependency> <groupId>org.springframework.social</groupId> <artifactId>spring-social-google</artifactId> <version>1.0.0.RELEASE</version> </dependency> <dependency> <groupId>org.Apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-Tomcat</artifactId> <scope>provided</scope> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> <profiles> <profile> <id>openshift</id> <build> <finalName>webapp</finalName> <plugins> <plugin> <artifactId>maven-war-plugin</artifactId> <version>2.1.1</version> <configuration> <outputDirectory>webapps</outputDirectory> <warName>ROOT</warName> </configuration> </plugin> </plugins> </build> </profile> </profiles>

セキュリティ構成（CSRFトークンが実際に自動的に挿入される非ブートプロジェクトで使用しているのとまったく同じセキュリティファイル）

@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { ////////////////////////////////////////////////////////////////////////// // DEPENDENCIES // ////////////////////////////////////////////////////////////////////////// @Autowired private DataSource dataSource; @Autowired private UserRepository userRepository; ////////////////////////////////////////////////////////////////////////// // PROPERTIES // ////////////////////////////////////////////////////////////////////////// @Value("${custom.security.rememberme-secret}") private String secret; @Value("${custom.security.rememberme-create-tables}") private String createTables; private final static String[] adminRequests = new String[] { ... some matchers here... }; private final static String[] userRequests = new String[] { ... some matchers here... }; private final static String[] publicRequests = new String[] { ...some matchers here... }; ////////////////////////////////////////////////////////////////////////// // AUTHORIZATION // ////////////////////////////////////////////////////////////////////////// @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/css/**", "/images/**", "/js/**", "/error**"); } @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(adminRequests).access("hasRole('"+Role.ADMIN.toString()+"')") .antMatchers(userRequests).access("hasRole('"+Role.USER.toString()+"')") .antMatchers(publicRequests).permitAll() .anyRequest().authenticated() .and() .requiresChannel() .anyRequest().requiresSecure() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/", false) .permitAll() .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/login?logout") .invalidateHttpSession(true) .deleteCookies("JSESSIONID") .permitAll() .and() .rememberMe() .rememberMeServices(rememberMeService()) .and() .apply(new SpringSocialConfigurer()); } ////////////////////////////////////////////////////////////////////////// // AUTHENTICATION // ////////////////////////////////////////////////////////////////////////// @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth .userDetailsService(userDetailsService()) .passwordEncoder(bCryptPasswordEncoder()); } @Bean public BCryptPasswordEncoder bCryptPasswordEncoder() { return new BCryptPasswordEncoder(11); } @Bean public UserDetailsService userDetailsService() { return new UserRepositoryUserDetailsService(userRepository); } @Bean public SocialUserDetailsService socialUserDetailsService() { return new UserRepositorySocialUserDetailsService(userDetailsService()); } ////////////////////////////////////////////////////////////////////////// // REMEMBER ME // ////////////////////////////////////////////////////////////////////////// @Bean public JdbcTokenRepositoryImpl jdbcTokenRepository() { JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl(); jdbcTokenRepository.setDataSource(dataSource); jdbcTokenRepository.setCreateTableOnStartup(Boolean.valueOf(createTables)); return jdbcTokenRepository; } @Bean public RememberMeAuthenticationProvider rememberMeAuthenticationProvider() { return new RememberMeAuthenticationProvider(secret); } @Bean public PersistentTokenBasedRememberMeServices rememberMeService() { PersistentTokenBasedRememberMeServices service = new PersistentTokenBasedRememberMeServices(secret, userDetailsService(), jdbcTokenRepository()); service.setUseSecureCookie(true); service.setParameter("rememberme"); service.setTokenValiditySeconds(AbstractRememberMeServices.TWO_WEEKS_S); return service; } @Bean public RememberMeAuthenticationFilter authenticationFilter() throws Exception { return new RememberMeAuthenticationFilter(authenticationManager(), rememberMeService()); } }

thymeleafに関連する現時点での私の春のブート構成で、開発目的で

spring.thymeleaf.cache=false

thymeleafテンプレートは次のようになります（現時点での私のログインページには、わかりやすくするために関連するコンテンツのみが含まれています）

<!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security/" xmlns:layout="http://www.ultraq.net.nz/thymeleaf/layout" layout:decorator="thymeleaf/layouts/default"> <head> ... css and meta tags ... </head> <body> ... some html ... <th:block sec:authorize="isAnonymous()"> <!-- Bad Credentials --> <div th:if="${param.error}" class="alert alert-danger text-center"> Invalid username and/or password. </div> <!-- Logout --> <div th:if="${param.logout}" class="alert alert-success text-center"> You have been logged out. </div> <!-- Login Form --> <form id="f" th:action="@{/login}" method="post" role="form" autocomplete="off"> <!-- Username --> <input type="text" class="form-control text-center" id="username" name="username" th:placeholder="#{form.login.username}" /> <!-- Password --> <input type="password" class="form-control text-center" id="password" name="password" th:placeholder="#{form.login.password}" /> <!-- Remember me --> <input type="checkbox" id="rememberme" name="rememberme" /> <!-- Submit --> <button type="submit" class="btn btn-primary" th:utext="#{form.login.submit}">Login</button> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" /> </form> ... more html and javascript ... </body> </html>

Edit2-方向にデバッグを行った後 Faraj Farook 指摘したところ、構成iのプロジェクトでSpring Bootバージョンでは、このクラスorg.thymeleaf.spring4.requestdata.RequestDataValueProcessor4Delegateに投稿され、次の関数はnullプロセッサを返します

public Map<String, String> getExtraHiddenFields( final RequestContext requestContext, final HttpServletRequest request) { final RequestDataValueProcessor processor = requestContext.getRequestDataValueProcessor(); if (processor == null) { return null; } return processor.getExtraHiddenFields(request); }

spring以外のブートバージョンでは、org.springframework.security.web.servlet.support.csrf.CsrfRequestDataValueProcessorのインスタンスであるプロセッサを返します。

Faraj Farook · Accepted Answer

Thymeleaf開発者によると、RequestDataValueProcessorインターフェースは、フォームのポストバックに自動的に追加される追加の非表示フィールドを見つけるためにThymeleafによって使用されます。

以下のorg/thymeleaf/spring3/processor/attr/SpringActionAttrProcessor.Javaのコードはこれを示しています。

 final Map<String,String> extraHiddenFields = RequestDataValueProcessorUtils.getExtraHiddenFields(arguments.getConfiguration(), arguments);

問題を並べ替え、CSRFトークンを自動的に追加するには;アプリケーションで、カスタムリクエストデータ値プロセッサを作成し、それをSpringに登録します。これを行うには、以下のチュートリアルを実行できます。

SpringのCsrf防御-MVC

また、Springブートなしで以前のSpring MVCコードをチェックして、プロジェクトの構成XMLにカスタムメイドのRequestDataValueProcessorがあるかどうかを確認することをお勧めします。

lbd01 · Answer

同様の問題がありました。調査の結果、「th：action」属性を使用しているフォーム（プレーンな「action」ではない）のみにcsrfトークンが挿入されていることがわかりました。
ログインフォームの場合、csrfを手動で挿入する必要があるようです（リンク）。
公式の春のドキュメント（ link ）には、セッションのタイムアウトを防ぐために、ログインフォームの送信直前にcsrfトークンを取得することが提案されています。このシナリオでは、フォームの非表示の入力にcsrfトークンはありません。

mpprdev · Answer

あなたは2つのことをしなければならないでしょう。 Beanを宣言します

@Configuration public class SecurityConfiguration extends WebSecurityConfigurerAdapter { ... other beans ... @Bean public RequestDataValueProcessor requestDataValueProcessor() { return new CsrfRequestDataValueProcessor(); } }

テーマリーフテンプレートのhtmlフォームで「th：action」が使用されていることを確認してください

<form th:action="@{/youractionurl}"> ... input tags </form>

これにより、次のような_csrfトークンが自動的に挿入されます

<input type="hidden" name="_csrf" value="4568ad84-b300-48c4-9532-a9dcb58366f3" />

mizerablebr · Answer

Spring Boot + Thymeleaf + Spring Securityを使用すると、次のように機能します。

アプリケーションのプロパティ

security.enable-csrf=true

2017年3月30日更新：

1つ重要ことは次のとおりです。フォーム内でth：actionを使用します。これにより、手動で挿入しなくてもフォーム内にCSRFを挿入するようにSpringSecurityに指示されます。

手動挿入の場合：

htmlテンプレート

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />

2017年1月25日更新：

pom.xml

 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> <version>2.1.2.RELEASE</version> </dependency>