Spring Security Oauth2 : Possible CSRF detected

使用Spring Security 作为 Oauth2 授权服务器时,在授权服务器登录授权后,重定向到客户端服务器时,出现了401 Unauthorized 错误。明明已经授权了,为何还会未授权了。

跟踪代码发现,抛出了这个异常:

"Possible CSRF detected - state parameter was required but no state could be found"
导致这个异常的原因是,我在本地部署调试授权服务程序,和客户端服务程序,均采用的是localhost域名,只是端口不同,这就导致两个web程序在写Session的cookie标识id(JSESSIONID)
时会被覆盖。

具体发送的场景流程是,授权服务登录授权后,会重定向到客户端的授权地址,这时会在session域中取出OAuth2ClientContext ,代码在OAuth2RestOperationsConfiguration类中:
 @Bean

 @Scope(value = "session", proxyMode = ScopedProxyMode.INTERFACES)

 public DefaultOAuth2ClientContext oauth2ClientContext() {

     return new DefaultOAuth2ClientContext(this.accessTokenRequest);

}

此时,由于Session的标识id被覆盖,自然认为不在一个会话中,那就不会取到原来在客户端要求授权跳转前存放的OAuth2ClientContext,也就导致了爆出这个异常:

private MultiValueMap<String, String> getParametersForTokenRequest(AuthorizationCodeResourceDetails resource,

			AccessTokenRequest request) {

		MultiValueMap<String, String> form = new LinkedMultiValueMap<String, String>();

		form.set("grant_type", "authorization_code");

		form.set("code", request.getAuthorizationCode());

		Object preservedState = request.getPreservedState();

		if (request.getStateKey() != null || stateMandatory) {

			// The token endpoint has no use for the state so we don't send it back, but we are using it

			// for CSRF detection client side...

			if (preservedState == null) {

				throw new InvalidRequestException(

						"Possible CSRF detected - state parameter was required but no state could be found");

			}

		}

		//省略代码...

		return form;

	}

 那么如何解决这个问题呢?

1.为不同web程序采用不同的域名,由于是本地部署,那么可以为本机配置几个127.0.0.1 的 域名,如同localhost 指向 本机回还地址一样。这个本机域名配置可以自行百度。

2.为session的标识id采用不同的名称,如授权服务器用SESSIONID,客户端JSESSIONID不变.(如果多个客户端,那就重命名,以免干涉),以下是如何设置:

2.1   Spring Mvc  web.xml

 <session-config>

  <cookie>
    <name>SESSIONID</name>
  </cookie>

 </session-config>


2.2 Spring MVC JavaConfig




public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

  @Override

  public void onStartup(ServletContext servletContext) throws ServletException {

    super.onStartup(servletContext);

    servletContext.getSessionCookieConfig().setName("SESSIONID");

  }

   //省略其他配置

}





 2.3 SpringBoot




@SpringBootApplication

@ComponentScan(basePackages = "com.test")

public class LoginApplication implements ServletContextInitializer {

    public static void main(String[] args) {

        SpringApplication.run(LoginApplication.class, args);

    }

    @Override

    public void onStartup(ServletContext servletContext)

            throws ServletException {

        servletContext.getSessionCookieConfig().setName("SESSIONID");

    }

}





  或者在application.yml 文件中配置:




server:

  port: 8081

  tomcat:

    uri-encoding: UTF-8

  session:

   cookie:

     name: SESSIONID


												


											
Spring Security Oauth2 :  Possible CSRF detected的更多相关文章
	

    
								
  1. spring security oauth2 jwt 认证和资源分离的配置文件(java类配置版)
		
    最近再学习spring security oauth2.下载了官方的例子sparklr2和tonr2进行学习.但是例子里包含的东西太多,不知道最简单最主要的配置有哪些.所以决定自己尝试搭建简单版本的例 ...
    
		
    2. 
						
  2. Spring Security Oauth2 permitAll()方法小记
		
    黄鼠狼在养鸡场山崖边立了块碑,写道:"不勇敢地飞下去,你怎么知道自己原来是一只搏击长空的鹰?!" 从此以后 黄鼠狼每天都能在崖底吃到那些摔死的鸡! 前言 上周五有网友问道,在使用s ...
    
		
    3. 
						
  3. 使用Spring MVC测试Spring Security Oauth2 API
		
    不是因为看到希望了才去坚持,而坚持了才知道没有希望. 前言 在Spring Security源码分析十一:Spring Security OAuth2整合JWT和Spring Boot 2.0 整合  ...
    
		
    4. 
						
  4. Spring Security Oauth2 的配置
		
    使用oauth2保护你的应用,可以分为简易的分为三个步骤 配置资源服务器 配置认证服务器 配置spring security 前两点是oauth2的主体内容,但前面我已经描述过了,spring sec ...
    
		
    5. 
						
  5. spring security oauth2 client_credentials模
		
    spring security oauth2 client_credentials模 https://www.jianshu.com/p/1c3eea71410e 序 本文主要简单介绍一下spring ...
    
		
    6. 
						
  6. springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)
		
    项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖   ...
    
		
    7. 
						
  7. 关于 Spring Security OAuth2 中 CORS 跨域问题
		
    CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing).它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了 AJA ...
    
		
    8. 
						
  8. Spring Security Oauth2 单点登录案例实现和执行流程剖析
		
    Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本.OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(au ...
    
		
    9. 
						
  9. 转 - spring security oauth2 password授权模式
		
    原贴地址: https://segmentfault.com/a/1190000012260914#articleHeader6 序 前面的一篇文章讲了spring security oauth2的c ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. ISO/IEC 9899:2011 条款6.5.9——相等操作符
			
    6.5.9 相等操作符 语法 1.equality-expression: relational-expression equality-expression    ==    relational- ...
    
			
    2. 
						
  2. Exception in thread "main" brut.androlib.AndrolibException: Could not decode arsc file 	at brut.androlib.res.decoder.ARSCDecoder.decode
			
    使用ApkIDE反编译出现如下错误: Exception in thread "main" brut.androlib.AndrolibException: Could not d ...
    
			
    3. 
						
  3. 数据分析入门——pandas之Series
			
    一.介绍 Pandas是一个开源的,BSD许可的库(基于numpy),为Python编程语言提供高性能,易于使用的数据结构和数据分析工具. 官方中文文档:https://www.pypandas.cn ...
    
			
    4. 
						
  4. locust设置断言的方法
			
    https://blog.csdn.net/panyu881024/article/details/80146088 这里同样以测试百度首页为例. catch_response = True :布尔类 ...
    
			
    5. 
						
  5. 如何修改WAMPServer默认的网站路径地址
			
    通常,我们安装WAMPServer集成的PHP开发环境之后,默认的网站路径地址是其安装目录下子文件夹:"wamp/www/".那么我们怎么修改网站地址到自己指定的路径呢?本篇经验将 ...
    
			
    6. 
						
  6. centos7下使用yum安装mysql5.7.10
			
    原文地址:http://www.mamicode.com/info-detail-503994.html CentOS7的yum源中默认好像是没有mysql的.为了解决这个问题,我们要先下载mysql ...
    
			
    7. 
						
  7. 【深度学习与神经网络】深度学习的下一个热点——GANs将改变世界
			
    本文作者 Nikolai Yakovenko 毕业于哥伦比亚大学,目前是 Google 的工程师,致力于构建人工智能系统,专注于语言处理.文本分类.解析与生成. 生成式对抗网络-简称GANs-将成为深 ...
    
			
    8. 
						
  8. 【GStreamer开发】GStreamer播放教程02——字幕管理
			
    目标 这篇教程和上一篇非常相似,但不是切换音频流,而是字幕了.这次我们会展示: 如何选择选择字幕流 如何引入外部的字幕 如何客制化字幕使用的字体 介绍 我们都知道一个文件可以有多个音视频流并且可以使用 ...
    
			
    9. 
						
  9. flask 编码问题
			
    在我们的flask项目中,通过表单提交对数据库进行更新的时候,数据提交不成功,提示以下内容: sqlalchemy.exc.InternalError: (pymysql.err.InternalEr ...
    
			
    10. 
						
  10. LeetCode 21. 合并两个有序链表(Merge Two Sorted Lists)
			
    21. 合并两个有序链表 21. Merge Two Sorted Lists 题目描述 将两个有序链表合并为一个新的有序链表并返回.新链表是通过拼接给定的两个链表的所有节点组成的. LeetCode ...
    
			
    11.