Spring security开启remember me功能,配置session超时,导致csrf验证失败

2024-01-03 23:32
文章标签 java 配置 功能 spring 验证 开启 导致 session 失败 超时 csrf security remember

本文主要是介绍Spring security开启remember me功能,配置session超时,导致csrf验证失败,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。

配置remember me + session超时

后端

public class HttpSecurityConfigurer {@Overridepublic void configure(HttpSecurity http) throws Exception {http//....anyRequest().authenticated().and().rememberMe().tokenValiditySeconds(86400)//...}
}
# resources/config/application-dev.yml
server:port: 8080servlet:session:timeout: 80s # 超时时间80s

5.2.2前端

登录的URL中增加 remember-me请求参数

&remember-me=${encodeURIComponent(data['remember-me'])}`;

解决方案

移动端无法读取cookie中的csrf的token增加到请求的header中,可以使用本解决方案。

只有在用户登录成功后,才生成csrf的token增加到cookie中,并且将csrf的token增加到用户响应信息中。前端发起请求的时候,从用户信息中获取csrf的token,增加到请求的header中。

5.4.2.后端

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import com.fasterxml.jackson.databind.ObjectMapper;/*** 登录成功后保持token** */
public class AjaxAuthenticationSuccessCustomizerHandler extends AjaxAuthenticationSuccessHandler {private ObjectMapper mapper;private CsrfTokenRepository csrfTokenRepository;private OnAuthenticationSuccessResponseProvider successResponseProvider;public AjaxAuthenticationSuccessCustomizerHandler(ObjectMapper mapper,OnAuthenticationSuccessResponseProvider successResponseProvider) {super(mapper, successResponseProvider);}public AjaxAuthenticationSuccessCustomizerHandler(ObjectMapper mapper,OnAuthenticationSuccessResponseProvider successResponseProvider,CsrfTokenRepository csrfTokenRepository) {super(mapper, successResponseProvider);this.mapper = mapper;this.successResponseProvider = successResponseProvider;this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication)throws IOException, ServletException {response.setStatus(HttpServletResponse.SC_CREATED);// 用户响应信息设置TOKENclearAuthenticationAttributes(request);}private String generateToken(HttpServletRequest request, HttpServletResponse response) {CsrfTokenCustomizer newToken = (CsrfTokenCustomizer) csrfTokenRepository.generateToken(request);newToken.setCanSave(true);csrfTokenRepository.saveToken(newToken, request, response);request.setAttribute(CsrfToken.class.getName(), newToken);request.setAttribute(newToken.getParameterName(), newToken);return newToken.getToken();}
}
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.core.Authentication;
import org.springframework.security.web.csrf.CsrfTokenRepository;/*** 删除csrfToken**/
public class AjaxLogoutSuccessCustomizerHandler extends AjaxLogoutSuccessHandler {private CsrfTokenRepository csrfTokenRepository;public AjaxLogoutSuccessCustomizerHandler(CsrfTokenRepository csrfTokenRepository) {this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication)throws IOException, ServletException {if (csrfTokenRepository instanceof CookieCsrfTokenCustomizerRepository) {CookieCsrfTokenCustomizerRepository repositoryCustomizer = (CookieCsrfTokenCustomizerRepository) csrfTokenRepository;repositoryCustomizer.clearToken(null, request, response);}super.onLogoutSuccess(request, response, authentication);}
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;import org.springframework.security.web.csrf.CookieCsrfTokenRepository;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;/*** 根据Token中标识判断是否可以保持** */
public class CookieCsrfTokenCustomizerRepository implements CsrfTokenRepository {private CsrfTokenRepository cookieCsrfTokenRepository;public CookieCsrfTokenCustomizerRepository(CookieCsrfTokenRepository cookieCsrfTokenRepository) {this.cookieCsrfTokenRepository = cookieCsrfTokenRepository;}@Overridepublic CsrfToken generateToken(HttpServletRequest request) {CsrfToken csrfToken = cookieCsrfTokenRepository.generateToken(request);return new CsrfTokenCustomizer(csrfToken);}@Overridepublic void saveToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {if (token == null) {return;}if (token instanceof CsrfTokenCustomizer) {CsrfTokenCustomizer myCsrfToken = (CsrfTokenCustomizer) token;if (!myCsrfToken.isCanSave()) {return;}}cookieCsrfTokenRepository.saveToken(token, request, response);}public void clearToken(CsrfToken token, HttpServletRequest request, HttpServletResponse response) {cookieCsrfTokenRepository.saveToken(token, request, response);}@Overridepublic CsrfToken loadToken(HttpServletRequest request) {return cookieCsrfTokenRepository.loadToken(request);}
}
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.web.csrf.CookieCsrfTokenRepository;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import com.fasterxml.jackson.databind.ObjectMapper;/*** csrf的配置**/
@Configuration
public class CsrfCustomizerConfiguration {@Beanpublic CsrfTokenRepository csrfTokenRepository() {CookieCsrfTokenRepository cookieCsrfTokenRepository = CookieCsrfTokenRepository.withHttpOnlyFalse();cookieCsrfTokenRepository.setHeaderName("X-CSRF-TOKEN");cookieCsrfTokenRepository.setCookiePath("/");return new CookieCsrfTokenCustomizerRepository(cookieCsrfTokenRepository);}
}
import org.springframework.security.web.csrf.CsrfToken;/*** 增加能否保持的标志** */
public class CsrfTokenCustomizer implements CsrfToken {private final CsrfToken csrfToken;private boolean canSave = false;public CsrfTokenCustomizer(CsrfToken csrfToken) {this.csrfToken = csrfToken;}@Overridepublic String getHeaderName() {return this.csrfToken.getHeaderName();}@Overridepublic String getParameterName() {return this.csrfToken.getParameterName();}@Overridepublic String getToken() {return this.csrfToken.getToken();}public boolean isCanSave() {return canSave;}public void setCanSave(boolean canSave) {this.canSave = canSave;}
}

public class HttpSecurityConfigurer {//...private final CsrfTokenRepository csrfTokenRepository;public HttpSecurityConfigurer(//...CsrfTokenRepository csrfTokenRepository) {//...this.csrfTokenRepository = csrfTokenRepository;}@Overridepublic void configure(HttpSecurity http) throws Exception {http.csrf()//  ....csrfTokenRepository(csrfTokenRepository)//  ...}
}

这篇关于Spring security开启remember me功能,配置session超时,导致csrf验证失败的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/567425

相关文章

Java Stream 并行流简介、使用与注意事项小结

Java Stream 并行流简介、使用与注意事项小结

《JavaStream并行流简介、使用与注意事项小结》Java8并行流基于StreamAPI,利用多核CPU提升计算密集型任务效率,但需注意线程安全、顺序不确定及线程池管理,可通过自定义线程池与C... 目录1. 并行流简介​特点:​2. 并行流的简单使用​示例:并行流的基本使用​3. 配合自定义线程池​示
阅读更多...
从原理到实战解析Java Stream 的并行流性能优化

从原理到实战解析Java Stream 的并行流性能优化

《从原理到实战解析JavaStream的并行流性能优化》本文给大家介绍JavaStream的并行流性能优化:从原理到实战的全攻略,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的... 目录一、并行流的核心原理与适用场景二、性能优化的核心策略1. 合理设置并行度:打破默认阈值2. 避免装箱
阅读更多...
解决升级JDK报错:module java.base does not“opens java.lang.reflect“to unnamed module问题

解决升级JDK报错:module java.base does not“opens java.lang.reflect“to unnamed module问题

《解决升级JDK报错:modulejava.basedoesnot“opensjava.lang.reflect“tounnamedmodule问题》SpringBoot启动错误源于Jav... 目录问题描述原因分析解决方案总结问题描述启动sprintboot时报以下错误原因分析编程异js常是由Ja
阅读更多...
Java Kafka消费者实现过程

Java Kafka消费者实现过程

《JavaKafka消费者实现过程》Kafka消费者通过KafkaConsumer类实现,核心机制包括偏移量管理、消费者组协调、批量拉取消息及多线程处理,手动提交offset确保数据可靠性,自动提交... 目录基础KafkaConsumer类分析关键代码与核心算法2.1 订阅与分区分配2.2 拉取消息2.3
阅读更多...
SpringBoot集成XXL-JOB实现任务管理全流程

SpringBoot集成XXL-JOB实现任务管理全流程

《SpringBoot集成XXL-JOB实现任务管理全流程》XXL-JOB是一款轻量级分布式任务调度平台,功能丰富、界面简洁、易于扩展,本文介绍如何通过SpringBoot项目,使用RestTempl... 目录一、前言二、项目结构简述三、Maven 依赖四、Controller 代码详解五、Service
阅读更多...
Java中HashMap的用法详细介绍

Java中HashMap的用法详细介绍

《Java中HashMap的用法详细介绍》JavaHashMap是一种高效的数据结构,用于存储键值对,它是基于哈希表实现的,提供快速的插入、删除和查找操作,:本文主要介绍Java中HashMap... 目录一.HashMap1.基本概念2.底层数据结构:3.HashCode和equals方法为什么重写Has
阅读更多...
Java 正则表达式的使用实战案例

Java 正则表达式的使用实战案例

《Java正则表达式的使用实战案例》本文详细介绍了Java正则表达式的使用方法,涵盖语法细节、核心类方法、高级特性及实战案例,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录一、正则表达式语法详解1. 基础字符匹配2. 字符类([]定义)3. 量词(控制匹配次数)4. 边
阅读更多...
Java Scanner类解析与实战教程

Java Scanner类解析与实战教程

《JavaScanner类解析与实战教程》JavaScanner类(java.util包)是文本输入解析工具,支持基本类型和字符串读取,基于Readable接口与正则分隔符实现,适用于控制台、文件输... 目录一、核心设计与工作原理1.底层依赖2.解析机制A.核心逻辑基于分隔符(delimiter)和模式匹
阅读更多...
Java中的stream流分组示例详解

Java中的stream流分组示例详解

《Java中的stream流分组示例详解》Java8StreamAPI以函数式风格处理集合数据,支持分组、统计等操作,可按单/多字段分组,使用String、Map.Entry或Java16record... 目录什么是stream流1、根据某个字段分组2、按多个字段分组(组合分组)1、方法一:使用 Stri
阅读更多...
Java+AI驱动实现PDF文件数据提取与解析

Java+AI驱动实现PDF文件数据提取与解析

《Java+AI驱动实现PDF文件数据提取与解析》本文将和大家分享一套基于AI的体检报告智能评估方案,详细介绍从PDF上传、内容提取到AI分析、数据存储的全流程自动化实现方法,感兴趣的可以了解下... 目录一、核心流程:从上传到评估的完整链路二、第一步:解析 PDF,提取体检报告内容1. 引入依赖2. 封装
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2