2

CSRF を使用した AngularJS の Spring Security に問題があります。

私の実装は、次のドキュメントに基づいています。

http://spring.io/guides/tutorials/spring-security-and-angular-js/

私の問題は、ログイン/ログアウトプロセスが正しく管理されていないことです。

ログイン フェーズは順調に進んでいるようです。応答は OK で、Java セッションが作成され、ログに記録されたプリンシパルを含む属性 " SPRING_SECURITY_CONTEXT "があります。しかし、ログイン プロセスの後、セッション オブジェクトでCSFR_TOKEN の属性が欠落していることに気付きました。

これにより、次のような影響が生じます。ログアウトを試みると、Spring Security が必要とするすべてのヘッダーを含むリクエストを渡します。しかし、org.springframework.security.web.csrf.CsrfFilterクラスの「 doFilterInternal」メソッドは属性を取得できません。

org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN

これにより、「トークンが欠落している」(リクエストヘッダーではなくセッションオブジェクト内にある)ため、トークンが再生成されます。そのため、「doFilterInternal」がリクエストで渡されたトークンと一致するコントロールを作成すると、一致は失敗し、それが出力するSpringログ:「無効なCSRFトークンが見つかりました...」

この問題により、フィルタ チェーンが停止します。カスタム「csrfHeaderFilter」で作成されたフィルタは、標準フィルタの後に呼び出されるため呼び出されないため、次のエラー ページが返されます。

HTTP ステータス 403 - 期待される CSRF トークンが見つかりません。セッションの有効期限が切れていますか?

セッションの有効期限が切れていません。実際、ブラウザでページを更新すると、まだログインしていることがわかります。ログには、ユーザー名がまだ存在していることがわかり、セッションにはプリンシパル オブジェクトが完全に保存されています。

ページの更新後にログアウトを再試行すると、セッションに属性「CSRF_TOKEN」存在するため、ログアウトは失敗しなくなります。その後、リクエストに空のセッションがあるため、ログアウトプロセスは完全に管理されます。

何が問題なのですか?

これが私の実際のセキュリティ構成です。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTargetClass = true)
public class SecurityContextConfig extends WebSecurityConfigurerAdapter{

    @Resource(name = "myUserDetailService")
    private UserDetailsService userDetailsService;

    @Bean
    public static StandardPasswordEncoder passwordEncoder() throws Exception {
        return new StandardPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setPasswordEncoder(passwordEncoder());
        provider.setUserDetailsService(userDetailsService);
        auth.authenticationProvider(provider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/main.html","/pages/**").permitAll()
            .anyRequest().authenticated().and()
        .httpBasic()
            .and()
        .csrf()
            .csrfTokenRepository(csrfTokenRepository()).and()
            .addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
        .logout()
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout")).permitAll()
            .logoutSuccessUrl("/main.html");
    }

    private Filter csrfHeaderFilter() {
        return new OncePerRequestFilter() {
            @Override
            protected void doFilterInternal(HttpServletRequest request,
                    HttpServletResponse response, FilterChain filterChain)
                    throws ServletException, IOException {
                CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
                        .getName());
                if (csrf != null) {
                    Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
                    String token = csrf.getToken();
                    if (cookie == null || token != null
                            && !token.equals(cookie.getValue())) {
                        cookie = new Cookie("XSRF-TOKEN", token);
                        cookie.setPath("/");
                        response.addCookie(cookie);
                    }
                }
                filterChain.doFilter(request, response);
            }
        };
    }

    private CsrfTokenRepository csrfTokenRepository() {
          HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
          repository.setHeaderName("X-XSRF-TOKEN");
          return repository;
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
            .ignoring()
                .antMatchers("/resources/**");
    }

    @Bean(name="authenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    @Autowired
    public void setObjectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
        super.setObjectPostProcessor(objectPostProcessor);
    }
}

これらは、最初のログアウト試行時のリクエスト ヘッダーです (更新なし) 。

HTTP Status 403 - Expected CSRF token not found. Has your session expired?

Request URL:https://localhost:8080/myApp/logout
Request Method:POST
Status Code:403 Forbidden
Remote Address:[::1]:8080

Request Headers
view source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip, deflate
Accept-Language:it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:2
Content-Type:application/json;charset=UTF-8
Cookie:JSESSIONID=DFE1A9492F421EDBAEC0DAE6726BFDC4; XSRF-TOKEN=70e2a706-db6d-4f53-b39f-01f6f10b6af1
Host:localhost:8080
Origin:https://localhost:8080
Referer:https://localhost:8080/myApp/main.html
User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36
X-Requested-With:XMLHttpRequest
X-XSRF-TOKEN:70e2a706-db6d-4f53-b39f-01f6f10b6af1

Response Headers
view source
Cache-Control:no-cache, no-store, max-age=0, must-revalidate
Content-Language:en
Content-Length:1116
Content-Type:text/html;charset=utf-8
Date:Tue, 19 Apr 2016 12:51:09 GMT
Expires:0
Pragma:no-cache
Server:Apache-Coyote/1.1
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-XSS-Protection:1; mode=block
4

1 に答える 1

1

私は自分で解決しました。

問題はクライアント側にあり、ログイン後の URL 'user/' への http get を省略していました。この呼び出しがないと、CSRF_TOKEN がセッションで再保存されず、ログアウト プロセスでサーバー側の問題が発生します。

この修正後、動作は正しくなり、完全に機能します。

そのため、Spring-AngularJS チュートリアルに従って、URL 'user/' への呼び出しが続く場合、URL 'user' への呼び出しがあります。

于 2016-04-20T13:17:34.620 に答える