Comment faire pour désactiver CSRF au Printemps de Sécurité 4 seulement d'URL spécifiques pour modèle par le biais de configuration XML?

Comment désactiver CSRF au Printemps de Sécurité 4 seulement d'URL spécifiques pour modèle par le biais de configuration XML?

Spring-security.xml

<security:http auto-config="true" use-expressions="true" pattern="/ext/**">
    <csrf disabled="true" />
</security:http>

<security:http auto-config="true" use-expressions="true" authentication-manager-ref="authenticationManager">
    <security:intercept-url pattern="/auth/**" access="hasAnyRole('ROLE_USER')" />
    <security:form-login login-page="/login" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-url="/login" login-processing-url="/j_spring_security_check" />
    <security:logout invalidate-session="true" logout-url="/logout" success-handler-ref="logoutSuccessHandler" />
</security:http>

Mon code fonctionne très bien si je n'utilise que celui de la sécurité:http bloc, mais après j'ai ajouter un autre bloc, il déclenche une erreur comme ci-dessous:

Erreur

Caused by: org.springframework.beans.factory.BeanCreationException: Could not autowire field: private org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter gov.in.controller.filter.LoginAdtAuthFailHdlr.usernamePasswordAuthenticationFilter; nested exception is org.springframework.beans.factory.NoUniqueBeanDefinitionException: No qualifying bean of type [org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter] is defined: expected single matching bean but found 2: org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#0,org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#1
at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:561)
at org.springframework.beans.factory.annotation.InjectionMetadata.inject(InjectionMetadata.java:88)
at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor.postProcessPropertyValues(AutowiredAnnotationBeanPostProcessor.java:331)
... 58 more
Caused by: org.springframework.beans.factory.NoUniqueBeanDefinitionException: No qualifying bean of type [org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter] is defined: expected single matching bean but found 2: org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#0,org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#1
at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:1054)
at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:942)
at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:533)
... 60 more
InformationsquelleAutor ad-inf | 2015-08-12
  1. 13

    Aurait pas pu atteindre avec juste du XML changements. Ci-dessous travaillé pour moi

    Changement dans Spring-security.xml

    <security:http  use-expressions="true" authentication-manager-ref="authenticationManager">
<security:intercept-url pattern="/auth/**" access="hasAnyRole('ROLE_USER')" />
<security:form-login login-page="/login" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-url="/login" login-processing-url="/j_spring_security_check" />
<security:logout invalidate-session="true" logout-url="/logout" success-handler-ref="logoutSuccessHandler" />
<security:csrf request-matcher-ref="csrfSecurityRequestMatcher"  />
</security:http>

    CsrfSecurityRequestMatcher 

    public class CsrfSecurityRequestMatcher implements RequestMatcher {
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("/ext/**", null);
@Override
public boolean matches(HttpServletRequest request) {          
if(allowedMethods.matcher(request.getMethod()).matches()){
return false;
}
return !unprotectedMatcher.matches(request);
}
}
    • Fonctionne comme un charme. Merci pour le partage. J'ai Dû mettre le @Composant avant de définition de classe pour le printemps composant la numérisation de la correspondance.
    • Hey, Désolé, je suis nouveau en java, pouvez-vous svp me donner l'emplacement où j'ai besoin de créer le CsrfSecurityRequestMatcher classe
    InformationsquelleAutor ad-inf
  2. 4

    Vous pouvez avoir deux (ou plus) des chaînes de filtres:

    <http pattern="/your-specific/**">
<!-- ... -->
<csrf disabled="true"/>
</http>
<http>
<!-- ... -->
</http>
    • Merci pour votre réponse. J'ai ajouté un peu de xml et de l'erreur ci-dessus. quand j'ajoute de la deuxième http bloc il est en train de lancer en double haricot erreurs. Toute suggestion?
    • Vous avez une référence à UsernamePasswordAuthenticationFilter dans votre LoginAdtAuthFailHdlr. Avec deux form-login vous obtenez deux UsernamePasswordAuthenticationFilter, vous avez besoin de changer votre classe ou de retirer un formulaire de connexion.
    • essayé ce trop. supprimé tous les éléments, mais l'erreur est toujours la même. Xml mis à jour
    • est une abréviation pour form-login et plus (voir la doc), je vous recommande de ne pas l'utiliser.
    • '<sécurité:http utilisez-les expressions="true" pattern="/ext/**" security="none"</sécurité:http> 'travaillé avec d'autres <sécurité:http ... mais j'ai besoin d'un modèle d'URL avec le même form-login de travailler avec csrf désactivé. Il n'est pas pris en charge ou dois-je besoin d'exposer une autre série de filtres avec le même code?
    • merci pour vos conseils. J'ai pu désactiver CSRF par l'ajout d'un bean comme détaillé dans ma réponse ci-dessous. Si il y a une meilleure solution, s'il vous plaît laissez-moi savoir

    InformationsquelleAutor holmis83