如何解决 Spring Security 中的 CSRF 和 404 错误？

# 解决 Spring Security 中的 CSRF 和 404 错误

概述

跨站请求伪造（CSRF）是一种网络攻击，攻击者可以利用受害者的浏览器向受信任的网站发送恶意请求。为了防止这种攻击，Spring Security 使用 CSRF 令牌来验证请求的合法性。

在本文中，我们将探讨如何解决 Spring Security 中的 CSRF 令牌丢失错误和 404 错误，并提供解决这些问题的具体步骤。

解决 CSRF 令牌丢失错误

1. 在网关应用程序中启用 CSRF 保护

在 Spring Security 配置类（例如 SecurityConfig.java）中添加以下代码：

@Bean
SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
    http.csrf(Customizer.withDefaults());
    return http.build();
}

2. 确保网关发送的请求包含 CSRF 令牌

当网关应用程序发送 POST 请求时，它必须包含由 CSRF 保护机制生成的 CSRF 令牌。

解决 404 错误

1. 配置授权服务器提供静态资源

OAuth 2.0 授权服务器需要提供一个静态资源来处理授权请求。在授权服务器的配置文件中添加以下配置：

auth-server.yml
spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          jwk-set-uri: http://localhost:9000/oauth2/jwks
      authorization:
        endpoint:
          authorization-code: /oauth2/authorize

2. 在网关应用程序中显式配置授权服务器

在 Spring Security 配置类中添加以下代码：

@Bean
SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
    http.oauth2Client(oauth2Client ->
        oauth2Client.authorizationCode()
            .authorizationRequestUri("/oauth2/authorize")
            .tokenUri("/oauth2/token")
    );
    return http.build();
}

结论

通过遵循上述步骤，你可以解决 Spring Security 中的 CSRF 令牌丢失错误和 404 错误。这些错误是由 CSRF 保护机制和 OAuth 2.0 授权服务器的配置不当引起的。

常见问题解答

1. 什么是 CSRF 攻击？

CSRF 攻击允许攻击者利用受害者的浏览器向受信任的网站发送恶意请求。

2. CSRF 令牌有什么作用？

CSRF 令牌用于验证请求是否来自合法用户，防止 CSRF 攻击。

3. 为什么会收到 404 错误？

404 错误可能是由 OAuth 2.0 授权服务器未提供必需的静态资源引起的。

4. 如何在网关应用程序中启用 CSRF 保护？

在 Spring Security 配置类中使用 @EnableWebFluxSecurity 注解和 csrf(Customizer.withDefaults()) 方法启用 CSRF 保护。

5. 如何显式配置授权服务器？

在 Spring Security 配置类中使用 oauth2Client 方法显式配置授权服务器。