使用Spring Security出現spring security Could not verify the provided CSRF token 異常
異常:Could not verify the provided CSRF token because your session was not found.
本專案是SpringBoot專案,模板引擎是thymeleaf
pom檔案中 主要依賴為:
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.9.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 模板引擎--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> </dependencies>
原因:
Spring Security4預設是開啟CSRF的,所以需要請求中包含CSRF的token資訊,在其官方文件(參考資料1)中,提供了在form中嵌入一個hidden標籤來獲取token資訊,其原理是,hidden標籤使用了Spring Security4提供的標籤,即${_csrf.parameterName}、${_csrf.token}, 後臺頁面渲染過程中,將此標籤解所對應的值解析出來,這樣,我們的form表單,就嵌入了Spring Security的所需的token資訊,在後續的提交登入請求時,就不會出現沒有CSRF
token的異常。
另外,還有一個解決辦法是,通過關閉CSRF來解決,這個幾乎在任何場景中都能解決這個問題(上面這個解決方案,可能在某些渲染模板不能解析出來token值,不過可以通過後臺程式來獲取token值,然後自己定義變數來渲染到form中,這個也是可以的)。具體的做法是通過修改配置檔案來關閉,我這裡使用的是SpringBoot開發的專案,配置檔案直接寫在配置類中,通過.csrf().disable()來關閉,參考資料見二。不過這種方案,會迎來CSRF攻擊,不建議在生產環境中使用,如果系統對外界做了隔離,這樣做也是可以的。
解決辦法:
1、在from表單中加入一個hidden標籤,來引用spring security 的csrf token。
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>如果是jsp做模板引擎,則可以使用:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>2、通過關閉csrf來解決:
@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//1 @Bean UserDetailsService customUserService() { //2 return new UserService(); } // 配置登陸校驗,登陸成功後,會儲存session @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserService()); //3 } // 配置預設登陸頁面,登陸失敗頁面 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .csrf().disable() //關閉CSRF .formLogin() .loginPage("/login") .failureUrl("/login?error") .permitAll() .and() .logout().permitAll(); } }
參考資料:
1、https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-include-csrf-token-form
2、https://docs.spring.io/spring-security/site/docs/4.2.3.RELEASE/reference/htmlsingle/#csrf-configure