spring-security 是否在Spring Weblux中禁用给定路径的身份验证和csrf？

q9rjltbz 于 2022-11-11 发布在 Spring

关注(0)|答案(1)|浏览(169)

除了一个url之外，我想为整个应用程序启用oauth2。
我的配置：

@EnableWebFluxSecurity
class SecurityConfig {

    @Bean
    fun securityWebFilterChain(http: ServerHttpSecurity) =
        http
            .authorizeExchange()
            .pathMatchers("/devices/**/register").permitAll()
            .and()
            .oauth2Login().and()
            .build()
}

application.yml:

spring.security.oauth2.client.registration.google.client-id: ...
spring.security.oauth2.client.registration.google.client-secret: ...

所有路径都使用oauth2进行保护，但问题是，当我调用一个允许使用/devices/123/register的端点时，得到的响应是：
CSRF Token has been associated to this client个
我是否需要以不同的方式配置此路径？

spring-security

来源：https://stackoverflow.com/questions/54408961/disable-authentication-and-csrf-for-a-given-path-in-spring-weblux

1条答案

按热度按时间

aamkag611#

permitAll只是一个关于权限的声明--所有典型的Web应用程序漏洞仍然像XSS和CSRF一样得到了缓解。
如果您尝试指示Spring Security应该完全忽略/devices/**/register，则可以执行以下操作：

http
    .securityMatcher(new NegatedServerWebExchangeMatcher(
        pathMatchers("/devices/**/register")))
    ... omit the permitAll statement

但是，如果您仍然希望该端点获得安全响应头，而不是CSRF保护，则可以执行以下操作：

http
    .csrf()
        .requireCsrfProtectionMatcher(new NegatedServerWebExchangeMatcher(
            pathMatchers("/devices/**/register")))
    ... keep the permitAll statement

赞(0）回复(0）举报 2022-11-11

我来回答

spring-security 是否在Spring Weblux中禁用给定路径的身份验证和csrf？

1条答案

相关问题

热门标签

最新问答