Spring Boot security montre Http Basic Auth popup après l'échec de la connexion
Je suis en train de créer une application simple pour un projet d'école, le Printemps de Démarrage backend et AngularJS frontend, mais ont un problème avec la sécurité que je n'arrive pas à résoudre.
Connectant fonctionne parfaitement, mais quand je tape un mauvais mot de passe de connexion par défaut de popup s'affiche, ce qui est un peu ennuyeux. J'ai essayé de l'annotation 'BasicWebSecurity" et en mettant httpBassic sur désactivé, mais sans résultat (ce qui signifie que la procédure de connexion ne fonctionne pas du tout).
Ma classe de sécurité:
package be.italent.security;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.security.SecurityProperties;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.csrf.CsrfFilter;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository;
import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.util.WebUtils;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
@Override
public void configure(WebSecurity web){
web.ignoring()
.antMatchers("/scripts/**/*.{js,html}")
.antMatchers("/views/about.html")
.antMatchers("/views/detail.html")
.antMatchers("/views/home.html")
.antMatchers("/views/login.html")
.antMatchers("/bower_components/**")
.antMatchers("/resources/*.json");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic()
.and()
.authorizeRequests()
.antMatchers("/user", "/index.html", "/", "/projects/listHome", "/projects/{id}", "/categories", "/login").permitAll().anyRequest()
.authenticated()
.and()
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class).formLogin();
}
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
}Quelqu'un a une idée sur la façon d'empêcher cette fenêtre montrant sans casser le reste?
solution
Ajouté ça à mon Angulaire config:
myAngularApp.config(['$httpProvider',
function ($httpProvider) {
$httpProvider.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
}
]);- la sécurité de votre config ressemble un peu à confusion. Tout d'abord vous activer httpBasic. alors vous voulez utiliser le formulaire de connexion et que vous voulez désactiver httpBasic. Pour moi il n'est pas clair CE que vous souhaitez protéger et de quelle manière. Le csrfHeaderFilter semble que vous avez un angularJS frontend est-ce le cas?
- Merde, j'ai fait un mauvais copier/coller. La finale httpBasic().disable() n'est pas censé être là. Mon mauvais! C'est en effet un angularJS frontend.
- Ok. Une réponse sera fournie dans quelques minutes. J'espère que c'est ce que vous voulez atteindre. Si non faites le moi savoir dans les commentaires.
- Est votre problème résolu maintenant?
- Oui, merci beaucoup, l'homme!
Vous devez vous connecter pour publier un commentaire.
Nous allons commencer avec votre problème
Il n'est pas un "Printemps de la sécurité d'Amorçage popup" de son navigateur popup qui s'affiche, si la réponse de votre Ressort de Démarrage de l'app contient l'en-tête suivant:
Dans votre configuration de sécurité un
.formLogin()montre. Cela ne devrait pas être nécessaire. Si vous voulez authentifier par le biais d'un formulaire dans votre application AngularJS, votre frontend est un organisme indépendant javascript client, ce qui devrait utiliser httpBasic à la place du formulaire de connexion.Comment votre sécurité config pourrait ressembler à
J'ai enlevé le
.formLogin():La façon de traiter avec le navigateur popup
Comme mentionné précédemment, la popup s'affiche si la réponse de votre Ressort de Démarrage de l'app contient l'en-tête
WWW-Authenticate: Basic. Cela ne devrait pas être désactivée pour toutes les demandes de votre source de Démarrage de l'app, car il vous permet d'explorer l'api dans votre navigateur très facilement.Printemps de Sécurité a une configuration par défaut qui vous permet de dire au Printemps de Démarrage de l'app à l'intérieur de chaque demande de ne pas ajouter cet en-tête dans la réponse. Ceci est fait en mettant la tête à votre demande:
Comment ajouter un en-tête à chaque demande faite par votre application AngularJS
Vous pouvez simplement ajouter une valeur par défaut de l'en-tête de l'application de config comme ça:
Le backend va maintenant répondre avec un 401-réponse que vous avez à gérer par votre angulaire de l'application (par un intercepteur par exemple).
Si vous avez besoin d'un exemple, comment le faire de ce que vous pourriez jeter un oeil à mon liste d'achats de l'app. C'est fait avec spring boot et angular js.
Comme Yannic Klem déjà dit ce qui se passe en raison de l'en-tête
Mais il y a un moyen de printemps pour l'éteindre, et c'est vraiment simple. Dans votre configuration viens de rajouter:
et depuis authenticationEntryPoint n'est pas encore défini, autowire au début:
Et maintenant créer MyBasicAuthenticationEntryPoint.class et collez le code suivant:
Maintenant votre application habitude d'envoyer WWW-Authenticate: Basic en-tête, parce que les fenêtres pop-up ne sera pas le montrer, et il n'est pas nécessaire de jouer avec les en-têtes Angulaires.