Отключить аутентификацию и csrf для заданного пути в Spring Weblux?

Question

Я хотел бы включить oauth2 для всего приложения, кроме одного URL.

Моя конфигурация:

@EnableWebFluxSecurity
class SecurityConfig {

    @Bean
    fun securityWebFilterChain(http: ServerHttpSecurity) =
        http
            .authorizeExchange()
            .pathMatchers("/devices/**/register").permitAll()
            .and()
            .oauth2Login().and()
            .build()
}

application.yml:

spring.security.oauth2.client.registration.google.client-id: ...
spring.security.oauth2.client.registration.google.client-secret: ...

Всепути защищены с помощью oauth2, но проблема в том, что когда я вызываю конечную точку, которая разрешена /devices/123/register, то в ответ я получаю:

CSRF Token has been associated to this client

Нужно ли настраивать этот путьпо-другому?

Answer 1

permitAll - это утверждение только о полномочиях - все типичные уязвимости веб-приложений по-прежнему смягчаются, например XSS и CSRF.

Если вы пытаетесь указать, что Spring Security должна игнорировать /devices/**/registerполностью, тогда вы можете сделать:

http
    .securityMatcher(new NegatedServerWebExchangeMatcher(
        pathMatchers("/devices/**/register")))
    ... omit the permitAll statement

Но, если вы все еще хотите, чтобы эта конечная точка получала заголовки защищенного ответа, а не защиту CSRF, тогда вы можете сделать:

http
    .csrf()
        .requireCsrfProtectionMatcher(new NegatedServerWebExchangeMatcher(
            pathMatchers("/devices/**/register")))
    ... keep the permitAll statement