Spring Security. logout - 403 Forbidden / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Spring Security. logout - 403 Forbidden

7 сообщений из 7, страница 1 из 1

Spring Security. logout - 403 Forbidden

#39141977

wvetal

Гость

AppSecurityConfig.java:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http
        .httpBasic().and()
        .authorizeRequests()
        	.antMatchers("/app/index.html", "/").permitAll()
        	.antMatchers("/app/vendor/**").permitAll()
        	.antMatchers("/app/styles/**").permitAll()
        	.antMatchers("/app/scripts/**").permitAll()
        	.antMatchers("/app/views/partial/NavbarDirective.html").permitAll()
        	.antMatchers("/app/views/home.html").permitAll()
        	.antMatchers("/app/views/login.html").permitAll()
        	.antMatchers("/logout").permitAll()
        	.anyRequest()
        	.authenticated().and()
        	.logout().permitAll().and()
        	.csrf().csrfTokenRepository(csrfTokenRepository()).and()
        	.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
    }
    
    public class CsrfHeaderFilter extends OncePerRequestFilter {
  	  @Override
  	  protected void doFilterInternal(HttpServletRequest request,
  	      HttpServletResponse response, FilterChain filterChain)
  	      throws ServletException, IOException {
  	    CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class
  	        .getName());
  	    if (csrf != null) {
  	      Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
  	      String token = csrf.getToken();
  	      if (cookie==null || token!=null && !token.equals(cookie.getValue())) {
  	        cookie = new Cookie("XSRF-TOKEN", token);
  	        cookie.setPath("/");
  	        response.addCookie(cookie);
  	      }
  	    }
  	    filterChain.doFilter(request, response);
  	  }
    }
    
    private CsrfTokenRepository csrfTokenRepository() {
  	  HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
  	  repository.setHeaderName("X-XSRF-TOKEN");
  	  return repository;
  	}

На клиенте Angular.

Код: javascript

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

  $scope.logout = function() {
	  $http.post('/myapp/logout', {}).success(function() {
	    $rootScope.authenticated = false;
	    $rootScope.admin = false;
	    $rootScope.user = false;
	    $location.path("#/");
	    $templateCache.removeAll();
	  }).error(function(data) {
	    $rootScope.authenticated = false;
	    $rootScope.admin = false;
	    $rootScope.user = false;
	    $templateCache.removeAll();
	  });
  }

При нажатии на клиенте logout получаю:
POST XHR http://localhost:8080/myapp/logout [HTTP/1.1 403 Forbidden 7мс]

Что необходимо подправить, чтоб logout сработал?
Что я упустил?

...

Рейтинг:

0 / 0

04.01.2016, 15:00

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39141984

wvetal

Гость

... странно получается, вот что получаю:
POST XHR http://localhost:8080/myapp/logout [HTTP/1.1 403 Forbidden 5мс]
GET XHR http://localhost:8080/myapp/app/views/login.html [HTTP/1.1 200 OK 6мс]
GET XHR http://localhost:8080/myapp/rest/user [HTTP/1.1 200 OK 7мс]
POST XHR http://localhost:8080/myapp/logout [HTTP/1.1 302 Found 7мс]

Интересно, почему первый раз logout не срабатывает, а второй срабатывает?

...

Рейтинг:

0 / 0

04.01.2016, 15:22

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39141996

wvetal

Гость

... вот еще наблюдение:

Когда, вызываю logout из:
http://localhost:8080/myapp/app/index.html#/ - logout не работает
а когда нахожусь, в любом другом месте, например
http://localhost:8080/myapp/app/index.html#/admin - logout работает.

Буду благодарен за любые мысли, идеи.

...

Рейтинг:

0 / 0

04.01.2016, 15:48

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39142104

imperfekt

Гость

wvetal,

Я бы так попробовал:

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.

@Override
    public void configure(WebSecurity web) throws Exception {
        web
                .ignoring()
                // following resources will be ignored be spring security
                .antMatchers(
                        "/app/styles/**",
                        "/app/scripts/**",
                        "/app/index.html");
    }

@Override
    protected void configure(HttpSecurity http) throws Exception {
      http
        .httpBasic().and()
        .authorizeRequests()
        	.antMatchers("/app/vendor/**").permitAll()
        	.antMatchers("/app/views/partial/NavbarDirective.html").permitAll()
        	.antMatchers("/app/views/home.html").permitAll()
        	.antMatchers("/app/views/login.html").permitAll()
        	.antMatchers("/**").authenticated()
                .and()
        	.logout()
                // logout URL
                .logoutUrl("/logout")
                // optional - define logout success handler (custom logic when logging user out)
                .logoutSuccessHandler(myLogoutSuccessHandler())
                // optional - when user is logged out, his HTTP session will be invalidated
                .invalidateHttpSession(true);
                .and()
        	.csrf().csrfTokenRepository(csrfTokenRepository()).and()
        	.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
    }

Идей особых пока нет, кроме как смотреть в логе, какой из фильтров заворачивает запрос на logout.

...

Рейтинг:

0 / 0

04.01.2016, 19:49

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39142612

JonnySKS

Участник

Сообщения: 62

Рейтинг: 0 / 0

Можно делегировать обработку логаута Spring Security, если не требуется какая то особая кастомизация

Код: java

1.
2.
3.
4.

http
    .logout()
        .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
        .logoutSuccessUrl("/index")

...

Рейтинг:

0 / 0

06.01.2016, 09:41

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39142637

wvetal

Гость

Похоже проблема была на клиенте.

Придумал такой костыль:
Когда пользователь залогинивается - переадресовываю его на страничку welcome
http://localhost:8080/myapp/app/index.html#/welcome

После этого logout прекрасно работает.

...

Рейтинг:

0 / 0

06.01.2016, 11:17

| Ответить | Цитировать | Написать

Spring Security. logout - 403 Forbidden

#39144285

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

как вариант - добавить такой контроллер на сервере

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

@RestController
public class CsrfController {

    @RequestMapping(value = "/csrf", method = RequestMethod.GET)
    public CsrfToken csrf(CsrfToken token ) {
        return token;
    }

    @ExceptionHandler(HttpSessionRequiredException.class)
    @ResponseStatus(value = HttpStatus.UNAUTHORIZED, reason = "The session has expired")
    public String handleSessionExpired() {
        return "sessionExpired";
    }
}

на клиенте получать текущий токен и отправлять его в каждом POST запросе

Код: javascript

1.
2.
3.
4.
5.

      $.get("/csrf", function(data) {
            _csrf = data.token;
           

        });

...

Рейтинг:

0 / 0

11.01.2016, 10:15

| Ответить | Цитировать | Написать

7 сообщений из 7, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Spring Security. logout - 403 Forbidden

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=39141984&tid=2124463]:	0ms
get settings:	12ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	49ms
get topic data:	11ms
get forum data:	3ms
get page messages:	56ms
get tp. blocked users:	1ms
others:	258ms

total:	409ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы