Spring Security Oauth2 : Possible CSRF detected
Posted on 2019-07-04 17:06 徐自勉 阅读(4053) 评论(0) 编辑 收藏 举报Spring Security Oauth2 : Possible CSRF detected
使用Spring Security 作为 Oauth2 授权服务器时,在授权服务器登录授权后,重定向到客户端服务器时,出现了401 Unauthorized 错误。明明已经授权了,为何还会未授权了。
跟踪代码发现,抛出了这个异常:
"Possible CSRF detected - state parameter was required but no state could be found"
导致这个异常的原因是,我在本地部署调试授权服务程序,和客户端服务程序,均采用的是localhost域名,只是端口不同,这就导致两个web程序在写Session的cookie标识id(JSESSIONID)
时会被覆盖。
具体发送的场景流程是,授权服务登录授权后,会重定向到客户端的授权地址,这时会在session域中取出OAuth2ClientContext ,代码在OAuth2RestOperationsConfiguration类中:
@Bean @Scope(value = "session", proxyMode = ScopedProxyMode.INTERFACES) public DefaultOAuth2ClientContext oauth2ClientContext() { return new DefaultOAuth2ClientContext(this.accessTokenRequest); }
此时,由于Session的标识id被覆盖,自然认为不在一个会话中,那就不会取到原来在客户端要求授权跳转前存放的OAuth2ClientContext,也就导致了爆出这个异常:
private MultiValueMap<String, String> getParametersForTokenRequest(AuthorizationCodeResourceDetails resource, AccessTokenRequest request) { MultiValueMap<String, String> form = new LinkedMultiValueMap<String, String>(); form.set("grant_type", "authorization_code"); form.set("code", request.getAuthorizationCode()); Object preservedState = request.getPreservedState(); if (request.getStateKey() != null || stateMandatory) { // The token endpoint has no use for the state so we don't send it back, but we are using it // for CSRF detection client side... if (preservedState == null) { throw new InvalidRequestException( "Possible CSRF detected - state parameter was required but no state could be found"); } } //省略代码...
return form; }
那么如何解决这个问题呢?
1.为不同web程序采用不同的域名,由于是本地部署,那么可以为本机配置几个127.0.0.1 的 域名,如同localhost 指向 本机回还地址一样。这个本机域名配置可以自行百度。
2.为session的标识id采用不同的名称,如授权服务器用SESSIONID,客户端JSESSIONID不变.(如果多个客户端,那就重命名,以免干涉),以下是如何设置:
2.1 Spring Mvc web.xml
<session-config> <cookie>
<name>SESSIONID</name>
</cookie> </session-config>
2.2 Spring MVC JavaConfig
public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer { @Override public void onStartup(ServletContext servletContext) throws ServletException { super.onStartup(servletContext); servletContext.getSessionCookieConfig().setName("SESSIONID"); }
//省略其他配置 }
2.3 SpringBoot
@SpringBootApplication
@ComponentScan(basePackages = "com.test")
public class LoginApplication implements ServletContextInitializer {
public static void main(String[] args) {
SpringApplication.run(LoginApplication.class, args);
}
@Override
public void onStartup(ServletContext servletContext)
throws ServletException {
servletContext.getSessionCookieConfig().setName("SESSIONID");
}
}
或者在application.yml 文件中配置:
server:
port: 8081
tomcat:
uri-encoding: UTF-8
session:
cookie:
name: SESSIONID
本人(徐自勉)原创内容,转载请注明出处,作者.