spring-security 是否在Spring Weblux中禁用给定路径的身份验证和csrf?

q9rjltbz  于 2022-11-11  发布在  Spring
关注(0)|答案(1)|浏览(171)

除了一个url之外,我想为整个应用程序启用oauth2。
我的配置:

@EnableWebFluxSecurity
class SecurityConfig {

    @Bean
    fun securityWebFilterChain(http: ServerHttpSecurity) =
        http
            .authorizeExchange()
            .pathMatchers("/devices/**/register").permitAll()
            .and()
            .oauth2Login().and()
            .build()
}

application.yml:

spring.security.oauth2.client.registration.google.client-id: ...
spring.security.oauth2.client.registration.google.client-secret: ...

所有路径都使用oauth2进行保护,但问题是,当我调用一个允许使用/devices/123/register的端点时,得到的响应是:
CSRF Token has been associated to this client
我是否需要以不同的方式配置此路径?

aamkag61

aamkag611#

permitAll只是一个关于权限的声明--所有典型的Web应用程序漏洞仍然像XSS和CSRF一样得到了缓解。
如果您尝试指示Spring Security应该完全忽略/devices/**/register,则可以执行以下操作:

http
    .securityMatcher(new NegatedServerWebExchangeMatcher(
        pathMatchers("/devices/**/register")))
    ... omit the permitAll statement

但是,如果您仍然希望该端点获得安全响应头,而不是CSRF保护,则可以执行以下操作:

http
    .csrf()
        .requireCsrfProtectionMatcher(new NegatedServerWebExchangeMatcher(
            pathMatchers("/devices/**/register")))
    ... keep the permitAll statement

相关问题