公众号 《java编程手记》记录JAVA学习日常，分享学习路上点点滴滴，从入门到放弃，欢迎关注

前言

前段时间倒腾Spring Security，在实现了基于DB的权限认证之后，最终顺利的搭建了一个Spring Security项目，搭建起来第一件事先来一个用户管理列表，为后续功能开发做准备，前端页面开发完毕之后调用用户列表接口，却显示403Forbidden，刚开始以为是权限配置错误，仔细检查了N遍，配置没有错误，但是登录之后接口返回确实是403Forbidden权限不足，于是放开所有权限校验，所有请求无需校验权限，依旧403Forbidden，陷入对夜晚深深的思考~

问题发现

确认问题肯定是由Spring Security引起的，直接开始DEBUG

Spring Security 在web场景的应用核心实现为Bean name为SpringSecurityFilterChain的这个Bean，Class为org.springframework.security.web.FilterChainProxy，SpringSecurityFilterChain中内部维护了一个FilterChain，默认FilterChain中会维护如下14个默认的Filter

看到这里本能的看了下CSRF的拦截器CsrfFilter，感觉很有可能是CSRF被拦截导致的，直接跳转到org.springframework.security.web.csrf.CsrfFilter#doFilterInternal方法

CSRFFilter中都做了什么

CSRFFilter#doFilterInternal

CSRFFilter的doFilterInternal方法主要做了如下几件事情

• 从tokenRepository中获取token，默认是从HttpSessionCsrfTokenRepository即session中获取token
• 判断token是否为null，为null说明第一次请求，自动生成一个，并且设置到session中
• 判断是否是csrf需要校验的请求方式类型，默认TRACE，HEAD，GET，OPTIONS四种请求方式不校验 不需要校验，直接执行后续FIlter 需要校验 从请求头中获取本次请求携带的token，没有则从请求参数中获取token 判断从session中获取的token和从请求头中获取的token是否一致 token一致，执行后续Filter 不一致 两个token都存在，但是校验失败，返回InvalidCsrfTokenException 否则返回MissingCsrfTokenException 上面生成的异常交由AccessDeniedHandler处理，最终返回处理的结果异常

org.springframework.security.web.csrf.CsrfFilter#doFilterInternal

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        request.setAttribute(HttpServletResponse.class.getName(), response);
  			//从session中获取token
        CsrfToken csrfToken = this.tokenRepository.loadToken(request);
  			//token是否为空
        boolean missingToken = csrfToken == null;
        if (missingToken) {
          	//自动生成新的token
            csrfToken = this.tokenRepository.generateToken(request);
          	//保存token
            this.tokenRepository.saveToken(csrfToken, request, response);
        }

        request.setAttribute(CsrfToken.class.getName(), csrfToken);
        request.setAttribute(csrfToken.getParameterName(), csrfToken);
  			//是否是csrf需要校验的请求方式类型，默认TRACE，HEAD，GET，OPTIONS四种请求方式不校验
        if (!this.requireCsrfProtectionMatcher.matches(request)) {
            if (this.logger.isTraceEnabled()) {
                this.logger.trace("Did not protect against CSRF since request did not match " + this.requireCsrfProtectionMatcher);
            }
						//执行后续filter
            filterChain.doFilter(request, response);
        } else {
          	//否则需要校验，从请求头部获取token
            String actualToken = request.getHeader(csrfToken.getHeaderName());
            if (actualToken == null) {
              	//为空则从请求参数中获取
                actualToken = request.getParameter(csrfToken.getParameterName());
            }
						//判断两个token是否相等
            if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
                this.logger.debug(LogMessage.of(() -> {
                    return "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request);
                }));
              	//token缺失或者不对应，对应两个异常类型
                AccessDeniedException exception = !missingToken ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken);
              	//交由accessDeniedHandler处理
                this.accessDeniedHandler.handle(request, response, (AccessDeniedException)exception);
            } else {
              	//相等继续执行后续Filter
                filterChain.doFilter(request, response);
            }
        }
    }
复制代码

AccessDeniedHandler#handle

org.springframework.security.web.access.AccessDeniedHandlerImpl#handle

• 首先判断response是否已经提交，提交则什么也不做
• 判断异常页面配置是否为null，为null则设置response的异常码
• 异常页面不为null，则设置异常码，并且重定向到异常页面

public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
  			//response是否已经提交
        if (response.isCommitted()) {
            logger.trace("Did not write to response since already committed");
        //异常页面配置是否为null
        } else if (this.errorPage == null) {
            logger.debug("Responding with 403 status code");
          	//为null则设置FORBIDDEN错误码
            response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
        } else {
            request.setAttribute("SPRING_SECURITY_403_EXCEPTION", accessDeniedException);
            response.setStatus(HttpStatus.FORBIDDEN.value());
            if (logger.isDebugEnabled()) {
                logger.debug(LogMessage.format("Forwarding to %s with status code 403", this.errorPage));
            }
						//重定向到error页面
            request.getRequestDispatcher(this.errorPage).forward(request, response);
        }
    }
复制代码

最终经历DEBUG后发现问题真凶，没有在POST请求中设置CSRFToken导致的，在之前的文章中有讲到，WebSecurityConfigurerAdapter的configure方法中可以配置csrf的开关，简单粗暴的办法就是直接禁用掉csrf即可，虽然之前在整理的时候知道，实践的时候确是忘了

贴一下最终的configure配置

@Override
    protected void configure(HttpSecurity http) throws Exception {
          http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().csrf().disable();
    }
复制代码

数据正常返回

结语

纸上得来终觉浅，实践出真知，文章稍微水了点，也复习了CSRFFilter的执行过程，各位看官点个赞再走！！