security放行 spirng_Spring security放行post接口失败，CsrfFilter又给拦截了

image

403错误都是资源权限的问题，从上述图看到/v3/**所有请求都Ok，所有的get请求也都ok，而不带v3的post请求报出403错误

在SpringBoot+springSecurity+Thymeleaf中

springSecurity设置拦截规则，他将会对所有http请求以及所有静态资源进行拦截，但是很多时候一些静态资源以及http请求我们并不希望他进行拦截，这时候可以在webSecurityConfig文件中进行和配置：

1.WebSecurity(.ignoring)。

2.HttpSecurity(permitAll)这两种方法中的方法都是用来放过资源的，如图：

这两种方法有非常大的不同

image

image

spring security中定义了很多的拦截器，其中有登录的还有匿名的，会拦截掉所有请求，以及资源，登录的话会走登录的拦截器，如果不登录的话就会走匿名的拦截器。但是结果发现使用permitAll方法放过请求即使登陆了，Get请求能ok，但是POST请求还是不能发出去造成了ajax请求POST失败403.这是为什么呢？？？

这是因为开启CSRF跨站防护，(springSecurity在2.0之后就会默认自动开启)。一旦开启了CSRF，所有经过springsecurity的http请求以及资源都被会CsrfFilter拦截，仅仅GET|HEAD|TRACE|OPTIONS这4类方法会被放行，也就是说post，delete等方法依旧是被拦截掉的，限制了除了get以外的大多数方法，报出403错误。原理如下：CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher

private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {

private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");

/* (non-Javadoc)

@see org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.servlet.http.HttpServletRequest)

*/

public boolean matches(HttpServletRequest request) {

return !allowedMethods.matcher(request.getMethod()).matches();

}

}

实际上.ignoring它是完全绕过spring security的所有filter的；根本不会经过springSecurity的任何拦截，所以适合静态资源的放过，而在这里我配置了/v3/**，所以无论是静态资源还是请求带有/v3/的都会被放行。

而permitAll，没有绕过spring security，还是会CsrfFilter拦截

那么怎么才能让post等方法通过呢？CsrfFilter进行拦截的时候都会适配给用户一个CSRF_token，被允许的放过的url放过的仅仅是Get请求，其他请求都要验证拦截器中_csrf的token是否正确，包含登录和登出都要附加CSRF Token提交到服务端。而通常post方式调用rest服务时，又没有_csrf的token，所以校验失败。这就需要我们在发送请求时得到这个token，并且验证通过。

这时候解决办法有两种：

1.将CSRF禁用掉(默认是开启的)，但是这样你的网站Springsecurity也就失去了跨站防护的CSRF的意义。

2.添加_csrf的token，既然他需要，那我们就给他所要的。(1)使用Thymeleaf模板提交表单(th:action)的话表单里自动添加CSRF令牌，你可以在网页中查看表单中是不是多了类似

的一行。(2)非此模板引擎的话。需要手动在表单当中添加。