使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误
Posted
技术标签:
【中文标题】使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误【英文标题】:403 CSRF token error using Vaadin with Spring Security 【发布时间】:2017-11-02 05:55:50 【问题描述】:我正在尝试在 vaadin 应用程序中实现 spring 安全性,但是我有一个问题,登录到页面后,它显示一个错误:
"status":403,"error":"Forbidden","message":"无法验证 提供 CSRF 令牌,因为未找到您的会话。","path":"/"
我尝试了很多东西,但都没有奏效,这是我的标准安全配置类:
//SecurityConfig.java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception
auth
.inMemoryAuthentication()
.withUser("user")
.password("password")
.roles("USER");
控制器类:
//HomeController.java
@RestController
public class HomeController
@GetMapping("/")
public String index()
return "Welcome to the home page!";
@GetMapping("/error")
public String error()
return "Error!";
还有 Vaadin UI 类
//VaadinUI.java
@SpringUI
public class VaadinUI extends UI
VerticalLayout layout = new VerticalLayout();
com.vaadin.ui.Label label = new com.vaadin.ui.Label("Witaj");
@Autowired
public VaadinUI()
@Override
protected void init(VaadinRequest request)
setContent(layout);
layout.addComponent(label);
还有我的 pom.xml
//pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>example.com</groupId>
<artifactId>LDAPSpringInitializr</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>jar</packaging>
<name>LDAPSpringInitializr</name>
<description>Demo project for Spring Boot</description>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.3.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
<vaadin.version>8.0.5</vaadin.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>com.vaadin</groupId>
<artifactId>vaadin-spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.postgresql</groupId>
<artifactId>postgresql</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>com.vaadin</groupId>
<artifactId>vaadin-bom</artifactId>
<version>$vaadin.version</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
如何在 Spring Security 中使用 Vaadin? 我想稍后将 spring security 与 LDAP 连接起来。
【问题讨论】:
【参考方案1】:我对 Vaadin 不是很熟悉,但是这篇 https://vaadin.com/blog/-/blogs/filter-based-spring-security-in-vaadin-applications 的帖子表明 Vaadin 已经提供了 CSRF 保护,因此您可以在 Spring 中通过以下方式禁用它
@Override
protected void configure(final HttpSecurity httpSecurity) throws Exception
httpSecurity.csrf().disable();
在您的 SecurityConfig 中。
【讨论】:
Vaadin 与 Spring 安全工作!我现在正在尝试连接 LDAP,问候!以上是关于使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误的主要内容,如果未能解决你的问题,请参考以下文章
带有 Spring 会话的 Spring Security SAML
我们如何使用带有 Spring 5.0 的最新 spring-security-oauth2 jar 来实现授权服务器?
使用带有 Java 配置的 Spring Security 注销
如何使用带有 LDAP 的 Spring Security 获取用户信息