Spring Security Oauth2 : Possible CSRF detected

Spring Security Oauth2 : Possible CSRF detected

使用Spring Security 作为 Oauth2 授权服务器时,在授权服务器登录授权后,重定向到客户端服务器时,出现了401 Unauthorized 错误。明明已经授权了,为何还会未授权了。

跟踪代码发现,抛出了这个异常:

"Possible CSRF detected - state parameter was required but no state could be found"导致这个异常的原因是,我在本地部署调试授权服务程序,和客户端服务程序,均采用的是localhost域名,只是端口不同,这就导致两个web程序在写Session的cookie标识id(JSESSIONID)时会被覆盖。

具体发送的场景流程是,授权服务登录授权后,会重定向到客户端的授权地址,这时会在session域中取出OAuth2ClientContext ,代码在OAuth2RestOperationsConfiguration类中:
 @Bean
 @Scope(value = "session", proxyMode = ScopedProxyMode.INTERFACES)
 public DefaultOAuth2ClientContext oauth2ClientContext() {
     return new DefaultOAuth2ClientContext(this.accessTokenRequest);
}

此时,由于Session的标识id被覆盖,自然认为不在一个会话中,那就不会取到原来在客户端要求授权跳转前存放的OAuth2ClientContext,也就导致了爆出这个异常:

private MultiValueMap<String, String> getParametersForTokenRequest(AuthorizationCodeResourceDetails resource,
			AccessTokenRequest request) {

		MultiValueMap<String, String> form = new LinkedMultiValueMap<String, String>();
		form.set("grant_type", "authorization_code");
		form.set("code", request.getAuthorizationCode());

		Object preservedState = request.getPreservedState();
		if (request.getStateKey() != null || stateMandatory) {
			// The token endpoint has no use for the state so we don‘t send it back, but we are using it
			// for CSRF detection client side...
			if (preservedState == null) {
				throw new InvalidRequestException(
						"Possible CSRF detected - state parameter was required but no state could be found");
			}
		}

		//省略代码...
		return form;

	}

 那么如何解决这个问题呢?

1.为不同web程序采用不同的域名,由于是本地部署,那么可以为本机配置几个127.0.0.1 的 域名,如同localhost 指向 本机回还地址一样。这个本机域名配置可以自行百度。

2.为session的标识id采用不同的名称,如授权服务器用SESSIONID,客户端JSESSIONID不变.(如果多个客户端,那就重命名,以免干涉),以下是如何设置:

2.1   Spring Mvc  web.xml

 <session-config>
  <cookie>    <name>SESSIONID</name>  </cookie>
 </session-config>


2.2 Spring MVC JavaConfig


public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
  @Override
  public void onStartup(ServletContext servletContext) throws ServletException {
    super.onStartup(servletContext);
    servletContext.getSessionCookieConfig().setName("SESSIONID");
  }

   //省略其他配置

}



 2.3 SpringBoot


@SpringBootApplication
@ComponentScan(basePackages = "com.test")
public class LoginApplication implements ServletContextInitializer {
    public static void main(String[] args) {
        SpringApplication.run(LoginApplication.class, args);
    }

    @Override
    public void onStartup(ServletContext servletContext)
            throws ServletException {
        servletContext.getSessionCookieConfig().setName("SESSIONID");
    }
}



  或者在application.yml 文件中配置:


server:
  port: 8081
  tomcat:
    uri-encoding: UTF-8
  session:
   cookie:
     name: SESSIONID



原文地址:https://www.cnblogs.com/xuzimian/p/11133545.html
				


				
时间: 2024-08-29 08:18:05 

		


		


	

	
	

		


		
Spring Security Oauth2 :  Possible CSRF detected的相关文章


								

		

			

                spring security oauth2 jwt 认证和资源分离的配置文件(java类配置版)
			

		

		

									

				最近再学习spring security oauth2.下载了官方的例子sparklr2和tonr2进行学习.但是例子里包含的东西太多,不知道最简单最主要的配置有哪些.所以决定自己尝试搭建简单版本的例子.学习的过程中搭建了认证和资源在一个工程的例子,将token存储在数据库的例子等等 .最后做了这个认证和资源分离的jwt tokens版本.网上找了一些可用的代码然后做了一个整理, 同时测试了哪些代码是必须的.可能仍有一些不必要的代码在,欢迎大家赐教. 一.创建三个spring boot 工程,分			

		

	

				

		

			

                Spring Security OAuth2 授权失败(401 问题整理
			

		

		

									

				Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用. 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是最			

		

	

				

		

			

                springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)
			

		

		

									

				项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖  下面是我引入的依赖 1 <?xml version="1.0" encoding="UTF-8"?> 2 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi=&q			

		

	

				

		

			

                Spring Security OAuth2 Provider 之 自定义开发
			

		

		

									

				Spring OAuth2默认提供的功能难免无法满足需求,需要特殊定制,这里列举常见的几个需要特殊开发的地方. 相关文章: Spring Security OAuth2 Provider 之 最小实现 Spring Security OAuth2 Provider 之 数据库存储 Spring Security OAuth2 Provider 之 第三方登录简单演示 Spring Security OAuth2 Provider 之 自定义开发 Spring Security OAuth2 Pr			

		

	

				

		

			

                Spring security oauth2最简单入门环境搭建
			

		

		

									

				关于OAuth2的一些简介,见我的上篇blog:http://wwwcomy.iteye.com/blog/2229889 PS:貌似内容太水直接被鹳狸猿干沉.. 友情提示 学习曲线:spring+spring mvc+spring security+Oauth2基本姿势,如果前面都没看过请及时关闭本网页. 我有信心我的这个blog应该是迄今为止使用spring security oauth2最简单的hello world app介绍了,如果你下下来附件源码还看不懂,请留言.. 其他能搜到的如h			

		

	

				

		

			

                【OAuth2.0】Spring Security OAuth2.0篇之初识
			

		

		

									

				不吐不快 因为项目需求开始接触OAuth2.0授权协议.断断续续接触了有两周左右的时间.不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?).好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代码.忏悔- WHAT? 项目之中实际使用OAuth2.0实现是用的Spring Security OAuth2.0,一套基于Spring S			

		

	

				

		

			

                Spring Security OAuth2 Demo -- good
			

		

		

									

				1. 添加依赖授权服务是基于Spring Security的,因此需要在项目中引入两个依赖: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency> <groupId>org.springf			

		

	

				

		

			

                Spring Security 解析(七) —— Spring Security Oauth2 源码解析
			

		

		

									

				Spring Security 解析(七) -- Spring Security Oauth2 源码解析 ??在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security .Spring Security Oauth2 等权限.认证相关的内容.原理及设计学习并整理一遍.本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知. 项目环境: JDK1.8 Spring boot 2.x Spring Security			

		

	

				

		

			

                Spring Security OAuth2 Demo —— 密码模式(Password)
			

		

		

									

				前情回顾 前几节分享了OAuth2的流程与授权码模式和隐式授权模式两种的Demo,我们了解到授权码模式是OAuth2四种模式流程最复杂模式,复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 其中密码模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户的用户名.密码.客户端的id和密钥的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全通过返回access_token,否则默认都是401 http状态码,提示未授权无法访问 本文目标 编写与