使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误

Posted

技术标签:

【中文标题】使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误【英文标题】:403 CSRF token error using Vaadin with Spring Security 【发布时间】:2017-11-02 05:55:50 【问题描述】:

我正在尝试在 vaadin 应用程序中实现 spring 安全性,但是我有一个问题,登录到页面后,它显示一个错误:

"status":403,"error":"Forbidden","message":"无法验证 提供 CSRF 令牌,因为未找到您的会话。","path":"/"

我尝试了很多东西,但都没有奏效,这是我的标准安全配置类:

//SecurityConfig.java    
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter 

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception 
        auth
            .inMemoryAuthentication()
            .withUser("user")
            .password("password")
            .roles("USER");
    

控制器类:

//HomeController.java
@RestController
public class HomeController 

    @GetMapping("/")
    public String index() 
        return "Welcome to the home page!";
    

@GetMapping("/error")
public String error()
    return "Error!";

还有 Vaadin UI 类

//VaadinUI.java
@SpringUI
public class VaadinUI extends UI 
    VerticalLayout layout = new VerticalLayout();

    com.vaadin.ui.Label label = new com.vaadin.ui.Label("Witaj");

    @Autowired
    public VaadinUI() 

   @Override
   protected void init(VaadinRequest request) 
       setContent(layout);
       layout.addComponent(label);
   

还有我的 pom.xml

//pom.xml
    <?xml version="1.0" encoding="UTF-8"?>
    <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
        <modelVersion>4.0.0</modelVersion>

        <groupId>example.com</groupId>
        <artifactId>LDAPSpringInitializr</artifactId>
        <version>0.0.1-SNAPSHOT</version>
        <packaging>jar</packaging>

        <name>LDAPSpringInitializr</name>
        <description>Demo project for Spring Boot</description>

        <parent>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-parent</artifactId>
            <version>1.5.3.RELEASE</version>
            <relativePath/> <!-- lookup parent from repository -->
        </parent>

        <properties>
            <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
            <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
            <java.version>1.8</java.version>
            <vaadin.version>8.0.5</vaadin.version>
        </properties>

        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-data-jpa</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-data-ldap</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-security</artifactId>
            </dependency>
            <dependency>
                <groupId>com.vaadin</groupId>
                <artifactId>vaadin-spring-boot-starter</artifactId>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>

            <dependency>
                <groupId>org.postgresql</groupId>
                <artifactId>postgresql</artifactId>
                <scope>runtime</scope>
            </dependency>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-test</artifactId>
                <scope>test</scope>
            </dependency>
        </dependencies>

        <dependencyManagement>
            <dependencies>
                <dependency>
                    <groupId>com.vaadin</groupId>
                    <artifactId>vaadin-bom</artifactId>
                    <version>$vaadin.version</version>
                    <type>pom</type>
                    <scope>import</scope>
                </dependency>
            </dependencies>
        </dependencyManagement>

        <build>
            <plugins>
                <plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                </plugin>
            </plugins>
        </build>


    </project>

如何在 Spring Security 中使用 Vaadin? 我想稍后将 spring security 与 LDAP 连接起来。

【问题讨论】:

【参考方案1】:

我对 Vaadin 不是很熟悉,但是这篇 https://vaadin.com/blog/-/blogs/filter-based-spring-security-in-vaadin-applications 的帖子表明 Vaadin 已经提供了 CSRF 保护,因此您可以在 Spring 中通过以下方式禁用它

@Override
protected void configure(final HttpSecurity httpSecurity) throws Exception 
    httpSecurity.csrf().disable();

在您的 SecurityConfig 中。

【讨论】:

Vaadin 与 Spring 安全工作!我现在正在尝试连接 LDAP,问候!

以上是关于使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误的主要内容,如果未能解决你的问题,请参考以下文章

带有 Spring 会话的 Spring Security SAML

我们如何使用带有 Spring 5.0 的最新 spring-security-oauth2 jar 来实现授权服务器?

使用带有 Java 配置的 Spring Security 注销

如何使用带有 LDAP 的 Spring Security 获取用户信息

带有 Spring Security 的 Spring REST 不接受凭据

带有 spring-boot 和 spring-security 的 JWT