Spring Security 3.2を構成した後_csrf.token
は、リクエストまたはセッションオブジェクトにバインドされません。
これは春のセキュリティ設定です:
<http pattern="/login.jsp" security="none"/>
<http>
<intercept-url pattern="/**" access="ROLE_USER"/>
<form-login login-page="/login.jsp"
authentication-failure-url="/login.jsp?error=1"
default-target-url="/index.jsp"/>
<logout/>
<csrf />
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="test" password="test" authorities="ROLE_USER/>
</user-service>
</authentication-provider>
</authentication-manager>
login.jspファイル
<form name="f" action="${contextPath}/j_spring_security_check" method="post" >
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
<button id="ingresarButton"
name="submit"
type="submit"
class="right"
style="margin-right: 10px;">Ingresar</button>
<span>
<label for="usuario">Usuario :</label>
<input type="text" name="j_username" id="u" class="" value=''/>
</span>
<span>
<label for="clave">Contraseña :</label>
<input type="password"
name="j_password"
id="p"
class=""
onfocus="vc_psfocus = 1;"
value="">
</span>
</form>
そして、次のHTMLをレンダリングします。
<input type="hidden" name="" value="" />
結果は403 HTTPステータスです。
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
更新 デバッグの後で、リクエストオブジェクトはDelegatingFilterProxyから細かく取得されますが、CoyoteAdapterの469行目でrequest.recycle();を実行します。すべての属性を消去します...
Tomcat 6.0.36、7.0.50、JDK 1.7でテストします。
私はこの動作を理解していません。むしろ、誰かが私に、CSRFで動作するSpring Security 3.2でのアプリケーションサンプル戦争の方向を教えてくれる可能性があります。
spring-security.xml
Spring 4.0.0 RELEASE(GA)、Spring Security 3.2.0 RELEASE(GA)(Struts 2.3.16と統合されていますが)では機能します(ただし、には違いがあります)。 Spring MVCのみで試してください)。ただし、リクエストがステータス403のファイルをアップロードするマルチパートの場合は失敗します。解決策を見つけるのに苦労しています。