Deaktivieren Sie die Federsicherheit für die OPTIONS-HTTP-Methode

Question 1

Ist es möglich, Spring Security für eine Art HTTP-Methode zu deaktivieren?

Wir haben eine Spring REST-Anwendung mit Diensten, für die ein Autorisierungstoken im Header der http-Anforderung angehängt werden muss. Ich schreibe einen JS-Client dafür und verwende JQuery, um die GET / POST-Anforderungen zu senden. Die Anwendung ist mit diesem Filtercode CORS-fähig.

doFilter(....) {

  HttpServletResponse httpResp = (HttpServletResponse) response;
  httpResp.setHeader("Access-Control-Allow-Origin", "*");
  httpResp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
  httpResp.setHeader("Access-Control-Max-Age", "3600");
  Enumeration<String> headersEnum = ((HttpServletRequest) request).getHeaders("Access-Control-Request-Headers");
  StringBuilder headers = new StringBuilder();
  String delim = "";
  while (headersEnum.hasMoreElements()) {
    headers.append(delim).append(headersEnum.nextElement());
    delim = ", ";
  }
  httpResp.setHeader("Access-Control-Allow-Headers", headers.toString());
}

Wenn JQuery jedoch die OPTIONS-Anforderung für CORS sendet, antwortet der Server mit dem Token Authorization Failed. Offensichtlich fehlt der OPTIONS-Anforderung das Autorisierungstoken. Ist es also möglich, die OPTIONEN aus der Spring-Sicherheitskonfiguration aus der Sicherheitsschicht zu entfernen?

Question 2

Hast du das versucht?

Sie können mehrere Elemente verwenden, um unterschiedliche Zugriffsanforderungen für unterschiedliche URL-Sätze zu definieren. Diese werden jedoch in der angegebenen Reihenfolge ausgewertet und die erste Übereinstimmung wird verwendet. Sie müssen also die spezifischsten Übereinstimmungen an die Spitze setzen. Sie können auch ein Methodenattribut hinzufügen, um die Übereinstimmung auf eine bestimmte HTTP-Methode (GET, POST, PUT usw.) zu beschränken.

<http auto-config="true">
    <intercept-url pattern="/client/edit" access="isAuthenticated" method="GET" />
    <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST" />
</http>

Oben bedeutet, dass Sie das URL-Muster auswählen müssen, das abgefangen werden soll, und welche Methoden Sie möchten

Question 3

Wenn Sie eine auf Anmerkungen basierende Sicherheitskonfigurationsdatei ( @EnableWebSecurity& @Configuration) verwenden, können Sie in der configure()Methode Folgendes ausführen, damit die OPTIONAnforderungen von Spring Security ohne Authentifizierung für einen bestimmten Pfad zugelassen werden:

@Override
protected void configure(HttpSecurity http) throws Exception
{
     http
    .csrf().disable()
    .authorizeRequests()
      .antMatchers(HttpMethod.OPTIONS,"/path/to/allow").permitAll()//allow CORS option calls
      .antMatchers("/resources/**").permitAll()
      .anyRequest().authenticated()
    .and()
    .formLogin()
    .and()
    .httpBasic();
}

Question 4

Alle OPTIONEN im Kontext zulassen:

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
    }

Question 5

Für den Fall, dass jemand nach einer einfachen Lösung mit Spring Boot sucht. Fügen Sie einfach eine zusätzliche Bohne hinzu:

   @Bean
   public IgnoredRequestCustomizer optionsIgnoredRequestsCustomizer() {
      return configurer -> {
         List<RequestMatcher> matchers = new ArrayList<>();
         matchers.add(new AntPathRequestMatcher("/**", "OPTIONS"));
         configurer.requestMatchers(new OrRequestMatcher(matchers));
      };
   }

Bitte beachten Sie, dass dies je nach Ihrer Anwendung für potenzielle Exploits geöffnet werden kann.

Offenes Problem für eine bessere Lösung: https://github.com/spring-projects/spring-security/issues/4448

Question 6

Wenn Sie eine auf Anmerkungen basierende Sicherheitskonfiguration verwenden, sollten Sie CorsFilterdem Anwendungskontext Federn hinzufügen, indem Sie .cors()Ihre Konfiguration aufrufen.

@Override
protected void configure(HttpSecurity http) throws Exception
{
     http
    .csrf().disable()
    .authorizeRequests()
      .antMatchers("/resources/**").permitAll()
      .anyRequest().authenticated()
    .and()
    .formLogin()
    .and()
    .httpBasic()
    .and()
    .cors();
}

Question 7

In einigen Fällen muss es hinzugefügt werden configuration.setAllowedHeaders(Arrays.asList("Content-Type"));, corsConfigurationSource()wenn WebSecurityConfigurerAdapterdas Cors-Problem gelöst werden soll.

Answer 1

Ist es möglich, Spring Security für eine Art HTTP-Methode zu deaktivieren?

Wir haben eine Spring REST-Anwendung mit Diensten, für die ein Autorisierungstoken im Header der http-Anforderung angehängt werden muss. Ich schreibe einen JS-Client dafür und verwende JQuery, um die GET / POST-Anforderungen zu senden. Die Anwendung ist mit diesem Filtercode CORS-fähig.

doFilter(....) {

  HttpServletResponse httpResp = (HttpServletResponse) response;
  httpResp.setHeader("Access-Control-Allow-Origin", "*");
  httpResp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
  httpResp.setHeader("Access-Control-Max-Age", "3600");
  Enumeration<String> headersEnum = ((HttpServletRequest) request).getHeaders("Access-Control-Request-Headers");
  StringBuilder headers = new StringBuilder();
  String delim = "";
  while (headersEnum.hasMoreElements()) {
    headers.append(delim).append(headersEnum.nextElement());
    delim = ", ";
  }
  httpResp.setHeader("Access-Control-Allow-Headers", headers.toString());
}

Wenn JQuery jedoch die OPTIONS-Anforderung für CORS sendet, antwortet der Server mit dem Token Authorization Failed. Offensichtlich fehlt der OPTIONS-Anforderung das Autorisierungstoken. Ist es also möglich, die OPTIONEN aus der Spring-Sicherheitskonfiguration aus der Sicherheitsschicht zu entfernen?

Answer 2

10

Hast du das versucht?

Sie können mehrere Elemente verwenden, um unterschiedliche Zugriffsanforderungen für unterschiedliche URL-Sätze zu definieren. Diese werden jedoch in der angegebenen Reihenfolge ausgewertet und die erste Übereinstimmung wird verwendet. Sie müssen also die spezifischsten Übereinstimmungen an die Spitze setzen. Sie können auch ein Methodenattribut hinzufügen, um die Übereinstimmung auf eine bestimmte HTTP-Methode (GET, POST, PUT usw.) zu beschränken.

<http auto-config="true">
    <intercept-url pattern="/client/edit" access="isAuthenticated" method="GET" />
    <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST" />
</http>

Oben bedeutet, dass Sie das URL-Muster auswählen müssen, das abgefangen werden soll, und welche Methoden Sie möchten

Koitoer
quelle

Aber ich denke, wir können so etwas nicht haben <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST, OPTIONS" />. Richtig ?

Dhanush Gopinath

Laut springframework.org/schema/security/spring-security-3.1.xsd glaube ich nicht

Koitoer

Wie würde dies im Fall von @ PreAuthorize-Annotation funktionieren? Ich möchte, dass Put-Methoden Administratorzugriff und Post-Methoden Benutzerzugriff haben

Dipanshu Verma

Was wird es in Java-Konfiguration äquivalent sein

Ravi Kumar

Bitte schauen Sie sich mein Problem an. stackoverflow.com/questions/50579277/…

dnvsp

Answer 3

Aber ich denke, wir können so etwas nicht haben <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST, OPTIONS" />. Richtig ?

Dhanush Gopinath

Answer 4

Laut springframework.org/schema/security/spring-security-3.1.xsd glaube ich nicht

Koitoer

Answer 5

Wie würde dies im Fall von @ PreAuthorize-Annotation funktionieren? Ich möchte, dass Put-Methoden Administratorzugriff und Post-Methoden Benutzerzugriff haben

Dipanshu Verma

Answer 6

Was wird es in Java-Konfiguration äquivalent sein

Ravi Kumar

Answer 7

Bitte schauen Sie sich mein Problem an. stackoverflow.com/questions/50579277/…

dnvsp

Answer 8

137

Wenn Sie eine auf Anmerkungen basierende Sicherheitskonfigurationsdatei ( @EnableWebSecurity& @Configuration) verwenden, können Sie in der configure()Methode Folgendes ausführen, damit die OPTIONAnforderungen von Spring Security ohne Authentifizierung für einen bestimmten Pfad zugelassen werden:

@Override
protected void configure(HttpSecurity http) throws Exception
{
     http
    .csrf().disable()
    .authorizeRequests()
      .antMatchers(HttpMethod.OPTIONS,"/path/to/allow").permitAll()//allow CORS option calls
      .antMatchers("/resources/**").permitAll()
      .anyRequest().authenticated()
    .and()
    .formLogin()
    .and()
    .httpBasic();
}

Felby
quelle

3

+1 Genau das, was wir getan haben, um CORS OPTIONS-Anforderungen zu aktivieren.

Siebenschläfer

es funktioniert gut Vielen Dank für Ihre Tipps, die ich suche und viel debugge, aber jetzt nicht behoben werden kann. Ich habe es behoben, um diese Tipps zu verwenden

Saurav Wahid

Ich habe Ihre Antwort gefunden, als ich ein ähnliches Problem untersucht habe, das in der jetzigen Form noch nicht auf Ihre Lösung reagiert. Bist du bereit einen Blick darauf zu werfen? Hier ist der Link: stackoverflow.com/questions/36705874/…

CodeMed

Dies könnte für ein allgemeines Verständnis hilfreich sein

Dr4gon

Ich bin selbst kein Java Spring-Benutzer. Ich habe das gleiche Problem, wenn ich im Backend eine andere Sprache verwende. Bringt Java / Spring eine zusätzliche Sicherheitsabstraktion mit sich oder ist es größtenteils sicher, die Authentifizierungs-Middleware-Methode für alle OPTIONS-Anforderungen zu ignorieren?

Kunok

Answer 9

3

+1 Genau das, was wir getan haben, um CORS OPTIONS-Anforderungen zu aktivieren.

Siebenschläfer

Answer 10

es funktioniert gut Vielen Dank für Ihre Tipps, die ich suche und viel debugge, aber jetzt nicht behoben werden kann. Ich habe es behoben, um diese Tipps zu verwenden

Saurav Wahid

Answer 11

Ich habe Ihre Antwort gefunden, als ich ein ähnliches Problem untersucht habe, das in der jetzigen Form noch nicht auf Ihre Lösung reagiert. Bist du bereit einen Blick darauf zu werfen? Hier ist der Link: stackoverflow.com/questions/36705874/…

CodeMed

Answer 12

Dies könnte für ein allgemeines Verständnis hilfreich sein

Dr4gon

Answer 13

Ich bin selbst kein Java Spring-Benutzer. Ich habe das gleiche Problem, wenn ich im Backend eine andere Sprache verwende. Bringt Java / Spring eine zusätzliche Sicherheitsabstraktion mit sich oder ist es größtenteils sicher, die Authentifizierungs-Middleware-Methode für alle OPTIONS-Anforderungen zu ignorieren?

Kunok

Answer 14

48

Alle OPTIONEN im Kontext zulassen:

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
    }

Luc S.
quelle

3

Dies schien die einzige Möglichkeit zu sein, OPTIONS-Anfragen ohne Autorisierung zuzulassen.

Jaseeey

Wenn Sie dann einen Optionsendpunkt erstellen, den Sie sichern möchten, vergessen Sie den Ausschluss in Ihrer Konfiguration und jeder kann darauf zugreifen. Sie sollten in Betracht ziehen, den Filter zu verwenden, um zu ermöglichen, dass Cors-Optionsanforderungen von der Frühlingssicherheit ausgeschlossen werden: docs.spring.io/spring-security/site/docs/4.2.x/reference/html/…

Tim

1

Mit HttpSecurity ist http.authorizeRequests () .antMatchers (HttpMethod.OPTIONS, "/ registrybrain / **"). PermitAll ()

Ena

Verbrachte mehr als 2 Stunden damit, eine Lösung zu finden - nur das funktionierte.

Waqas

1

"Wenn Sie dann einen Optionsendpunkt erstellen, den Sie sichern möchten" @Tim, warum sollte jemand das benötigen?

Maksim Gumerov

Answer 15

3