6

Sto usando Spring MVC/Security 3.X. Il problema è che sto ricevendo 403 nella pagina di login ogni volta il timeout sessione di, dove sotto "InvalidCsrfTokenException" viene gettata dal framework Spring:Qual è il modo migliore per gestire il token CSRF non valido trovato nella richiesta quando scade la sessione in Spring security

threw exception [org.springframework.security.web.csrf.InvalidCsrfTokenException: Invalid CSRF Token '7b4aefe9-6685-4c70-adf1-0d633680523a' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.] with root cause 
org.springframework.security.web.csrf.InvalidCsrfTokenException: Invalid CSRF Token '7b4aefe9-6685-4c70-adf1-0d633680523a' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 
    at org.springframework.security.web.csrf.CsrfFilter.doFilterInternal(CsrfFilter.java:100) 
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107) 
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) 
    at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:57) 
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107) 
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) 
    at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:87) 
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) 
    at org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter.doFilterInternal(WebAsyncManagerIntegrationFilter.java:50) 
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107) 
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) 
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192) 
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:160) 
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:343) 
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:260) 
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241) 
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208) 
    at org.springframework.web.multipart.support.MultipartFilter.doFilterInternal(MultipartFilter.java:119) 
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107) 
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241) 
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208) 
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:220) 
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:122) 
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:501) 
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171) 
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103) 
    at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:950) 
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116) 
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:408) 
    at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1070) 
    at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:611) 
    at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:314) 
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) 
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) 
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) 
    at java.lang.Thread.run(Thread.java:745) 

come è indicato nella documentazione di primavera del CSRF timeout è una questione che dovrebbe essere gestito un modo per gestire questo scenario è quello di avere. personalizzato AccessDeniedHandler dove intercettiamo un'eccezione CSRF. Qualcosa del tipo:

Domanda: Qual è il modo migliore per gestire questa situazione senza dover aggiornare la pagina (che è un'esperienza utente negativa) o avere una sessione senza fine? Grazie per il vostro aiuto in anticipo.

+0

Stai facendo una chiamata AJAX? – giubueno

+0

Si consiglia di inviare un'intestazione di risposta http Refresh che aggiornerà la pagina subito dopo la scadenza della sessione, ricaricandola in modo efficace e avviando una nuova sessione. Puoi anche eseguire qualche javascript sulle tue pagine per avvisare un utente quando la loro sessione sta per scadere –

+0

Sì, sto usando la chiamata AJAX. Come ho detto sopra, vorrei evitare una sessione rinnovabile che sia infinita. Quindi avere la testa di aggiornamento non soddisfa i miei requisiti. Avere JS per avvisare l'utente che la sessione sta per scadere è una buona idea, ma per la pagina di accesso. –

risposta

4

Il modo più semplice che ho trovato per maniglia invalidate CSRF gettone quando sessione scade nella pagina di login è uno dei seguenti:

  1. reindirizzare la richiesta di nuovo per la pagina di login di nuovo ris CustomAccessDeniedHandler:

    static class CustomAccessDeniedHandler extends AccessDeniedHandlerImpl{ 
    
    
    
    
        @Override 
        public void handle(HttpServletRequest request, 
          HttpServletResponse response, 
    
        AccessDeniedException accessDeniedException) 
        throws IOException, ServletException { 
    if (accessDeniedException instanceof MissingCsrfTokenException 
         || accessDeniedException instanceof InvalidCsrfTokenException) { 
    
        if(request.getRequestURI().contains("login")){ 
         response.sendRedirect(request.getContextPath()+"/login");           
        } 
    } 
    
    super.handle(request, response, accessDeniedException); 
    
    
    
    } 
    } 
    
  2. annuncio d aggiornamento di intestazione come Neil McGuigan suggerito:

<meta http-equiv="refresh" content="${pageContext.session.maxInactiveInterval}">

  1. Inoltre è necessario creare un fagiolo per il nuovo CustomAccessDeniedHandler e registrarlo. L'esempio seguente mostra questo per la configurazione di Java.

In ogni classe config:

@Bean 
public AccessDeniedHandler accessDeniedHandler() { 
    return new CustomAccessDeniedHandler(); 
} 

nella configurazione di sicurezza modificare il metodo di configurazione come segue:

@Override 
protected void configure(final HttpSecurity http) throws Exception { 
    http 
     // ... 
     .and() 
     .exceptionHandling().accessDeniedHandler(accessDeniedHandler()); 
} 

vedere anche here.

una soluzione ottimale sarà per la sicurezza Spring per gestire questa situazione nel loro quadro.

-1

Quando si utilizza Primavera di sicurezza, è necessario inviare il '_csrf', vi sono le seguenti modi:

A forma:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

In Ajax:

<head> <meta name="_csrf" content="${_csrf.token}"/> <!-- default header name is X-CSRF-TOKEN --> <meta name="_csrf_header" content="${_csrf.headerName}"/> <!-- ... --> </head>

$(function() { 
    var token = $("meta[name='_csrf']").attr("content"); 
    var header = $("meta[name='_csrf_header']").attr("content"); 
    $(document).ajaxSend(function(e, xhr, options) { 
    xhr.setRequestHeader(header, token); 
    }); 
}); 

Fonte: http://docs.spring.io/autorepo/docs/spring-security/3.2.0.CI-SNAPSHOT/reference/html/csrf.html

+0

Lo sto già facendo.Il problema che sto avendo è che il token CSRF sta diventando non valido ogni volta che la sessione scade, si traduce in un comportamento sgradevole nella pagina di accesso. –