AngularJS + Spring Security - Как установить токен CSRF в запросе POST?
0
В моей службе angularJS authService я отправляю запрос POST с учетными данными и именем пользователя в конечную точку сервера в отдельном домене. У меня есть CORSFilter, который в порядке, поскольку я могу успешно отправлять POST-данные, когда я отключу CSRF-защиту в классе SecurityConfiguration.
Что я делаю не так? Как отправить токен CSRF с моим POST-запросом?
authService.login (учетные данные)
response.login = function (credentials) {
return $http({
method: "POST",
dataType: "json",
url: baseUrl + "/authenticate",
withCredentials: true,
data: { username: credentials.username },
headers: {
'Authorization' : "Basic " + btoa(credentials.username + ":" + credentials.password),
'Content-Type': 'application/json'
}
});
};
CsrfHeaderFilter
public class CsrfHeaderFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie==null || token!=null && !token.equals(cookie.getValue())) {
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
}
SecurityConfiguration.java
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUserDetailsService customUserDetailsService;
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.httpBasic()
.and()
.authorizeRequests()
.antMatchers("/**")
.permitAll().anyRequest().authenticated()
.and().csrf()
.csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
// .addFilterAfter(new CsrfHeaderFilter(), SessionManagementFilter.class);
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
@Override
protected UserDetailsService userDetailsService() {
return customUserDetailsService;
}
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
UserController
@RequestMapping(method = RequestMethod.POST, value = "/authenticate")
@PreAuthorize("hasRole('ROLE_USER')")
public @ResponseBody User login(@RequestParam String username) {
User user = repo.getUserWithUsername(username);
if (user == null) throw new NotFoundException();
return user;
}
1 ответ
0
Попробуйте это, если у вас есть какая-то форма. Spring автоматически генерирует скрытый ввод с токеном CSRF, который вы можете использовать:
function getCsrfHeader() {
var csrfToken = $("input[name='_csrf']").val();
var headers = {};
headers["X-CSRF-TOKEN"] = csrfToken;
headers["_csrf"] = csrfToken;
return headers;
};
function postSomethingToServer() {
var headers = getCsrfHeader();
var req = {
method: 'POST',
url: URL,
headers: headers,
data: SOME_DATA
};
$http(req)
.success(function() { ... })
.error(function() { ... });
}
JAntares
Поделиться
-
0Что такое $$ j ("input [name = '_ csrf']"). Val (); ??user2324937
Ещё вопросы
- 0два вызова timer_settime выдают ошибку
- 0Как прочитать значения 2D массива в php
- 0Программирование структур данных C ++: передача значений по ссылке? [Дубликат]
- 0Что я делаю не так с моей функцией обновления на nodejs / mongodb?
- 1Отображение сообщения загрузки WPF до завершения обновления пользовательского интерфейса
- 0MYSQL Query - Использование оператора Select в предложении Where
- 1Как офлайн произнести английское слово в программировании Android?
- 0Создание формы RSVP. Как сделать обязательные поля необязательными в зависимости от раскрывающегося списка?
- 02 указателя даты в одном поле ввода
- 0Как выполнить модульное тестирование контроллера с обратным вызовом в AngularJS
- 0JQuery Переключить текст на основе видимости элемента не ведет себя так, как ожидалось
- 0Получить значение времени ожидания сокета в Windows
- 0Открывать новую страницу, когда пользователь нажимает на любой элемент из ion-item
- 1Конвертируйте изображение .gif в base64 для загрузки на сервер.
- 1Вставить несколько строк с циклом for в строку, созданную с помощью readlines ()
- 1Клиент обычно отключается от сервера через несколько десятков минут
- 0G ++ с Mountain Lion поддерживает -msse4.2?
- 1Как настроить шаблон столбца, когда автоматически создается столбец сетки кендо?
- 1Как передать значение свойства в метод init в SAPUI5?
- 1Структурированный массив Numpy не выполняет основные операции с NumPy
- 0Нахождение научной нотации (E + XX)
- 0Утверждение рейтинга звезд jquery
- 1Wakelock - имя тега должно использовать уникальный префикс, за которым следует двоеточие
- 1Расшифровывать возвращаемые ненужные данные
- 0Горизонтальная прокрутка изображения с помощью запроса
- 0Два элемента div должны оставаться в одном ряду
- 0Угловая функция запускается при нажатии, но не при инициализации в контроллере
- 1Панды слияния и суммирования данных
- 1Кнопки Python Tkinter numpad и несколько входов
- 1Возможно ли, что getInstallerPackageName () имеет значение null, когда приложение загружено из Google Play Store?
- 0Как применить Emojis к списку директив Angularjs?
- 1OpenGL ES 2.0 Android - ошибка вращения куба
- 0Нумерация страниц в PHP
- 0Uncaught исключение «PDOException» с сообщением «не удалось найти драйвер» (для базы данных Oracle)
- 0Как получить значение и идентификатор из текстовой области, которая использует строку базы данных в качестве идентификатора
- 0Добавить одноэлементную функцию в класс Pimpl
- 0Обработчик событий Jquery не работает при вызове со страницы
- 1Информация о подписчике класса «SynchronousHelper» не совпадает с информацией о подписчике других классов в том же пакете
- 0Использование условных выражений в Jquery для размещения дисплея Fancybox в нижней части страницы
- 0Текстовые блоки над изображениями
- 0Ошибка частного указателя в связанном списке C ++
- 0как посчитать запись в диапазоне дат вместе с ее критериями
- 1Тесты Androidx - Как установить свойство активности перед вызовом onCreate
- 0AngularJS, проблемы с переменной $ index в ng-repeat
- 0Я не могу управлять разными кнопками с разными именами
- 0Скрыть / показать веб-часть, щелкнув гиперссылку в карусели Sharepoint 2010
- 0MySQL INSERT в многопользовательской игре SELECT Deadlock
- 0Целочисленная арифметика при переполнении
- 0Получить размер элемента в окне изменения размера
