403 запрещено, когда я пытаюсь опубликовать мой весенний API?

Question

Используя почтальон, я могу получить список пользователей с запросом на получение: http://localhost:8080/users.

Но когда я отправляю запрос на публикацию на тот же адрес, я получаю ошибку 403.

@RestController
public class UserResource {

    @Autowired
    private UserRepository userRepository;

    @GetMapping("/users")
    public List<User> retrievaAllUsers() {
        return userRepository.findAll();
    }


        @PostMapping("/users")
        public ResponseEntity<Object> createUser(@RequestBody User user) {
            User savedUser = userRepository.save(user);

            URI location = ServletUriComponentsBuilder.fromCurrentRequest()
                    .path("/{id}")
                    .buildAndExpand(savedUser.getId())
                    .toUri();

            return ResponseEntity.created(location).build();

        }


    }


@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    /*@Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(new BCryptPasswordEncoder());
    }*/


    /*@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic().and().authorizeRequests()
                .antMatchers("/users/**").hasRole("ADMIN")
                .and().csrf().disable().headers().frameOptions().disable();
    }*/
}

@Entity
@Table(name = "user")
public class User {

    @Id
    @GeneratedValue
    private Long id;
    private String name;
    private String password;
    @Enumerated(EnumType.STRING)
    private Role role;

    // TODO which cna be removed

    public User() {
        super();
    }

    public User(Long id, String name, String password, Role role) {
        this.id = id;
        this.name = name;
        this.password = password;
        this.role = role;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public Role getRole() {
        return role;
    }

    public void setRole(Role role) {
        this.role = role;
    }
}





    @Repository
    public interface UserRepository extends JpaRepository<User, Long> {


    }






INSERT INTO user VALUES (1, 'user1', 'pass1', 'ADMIN'); 
INSERT INTO user VALUES (2, 'user2', 'pass2', 'USER'); 
INSERT INTO user VALUES (3,'user3', 'pass3', 'ADMIN')

РЕДАКТИРОВАТЬ

РЕДАКТИРОВАНИЕ 2

добавлено удаление, но оно также дает 403?

@DeleteMapping("/users/{id}")

public void deleteUser (@PathVariable long id) {userRepository.deleteById (id);}

редактировать 4

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)

    public class SecurityConfig extends WebSecurityConfigurerAdapter {


        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .antMatchers("/users/**").permitAll();

        }
    }



@Configuration
@EnableAutoConfiguration
@ComponentScan
public class Application extends SpringBootServletInitializer {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }


}

Answer 1

Когда вы используете весеннюю загрузку с пружинной безопасностью, и если вы обращаетесь к своим API (POST, PUT, DELETE) из Postman или чего-то еще, они не будут доступны, и ошибка связана с авторизацией, например, запрещена 403.

Так что в этом случае вы должны отключить функцию csrf, чтобы запустить и протестировать API из Postman.

Ответ, предоставленный @benjamin c, правильный.Вы должны добавить класс с этой конфигурацией будет работать.

Убедитесь, что вы удаляете это, когда добавляете свой код в производство.Защита от CSRF необходима, и вы должны поддерживать ее в функциональности безопасности.

Я просто расширяю его ответ для получения более подробной информации, предоставляя полную информацию о классе.Моим требованием было просто протестировать API от Postman, поэтому я добавил этот класс и смог протестировать API от Postman.

Но после этого я добавил классы Spring Junit для проверки своих функций и удалил этот класс.

@Configuration
@EnableWebSecurity
public class AppWebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {    
        http
            .csrf().disable()
            .authorizeRequests()
                .anyRequest().permitAll();
        }
}

Надеюсь, это кому-нибудь поможет.

Answer 2

@EnableWebSecurity включает пружинную защиту и по умолчанию включает поддержку csrf, необходимо отключить ее, чтобы предотвратить ошибки 403.

@Override
protected void configure(HttpSecurity http) throws Exception {
     http.csrf().disable();
}

Или отправлять токен csrf с каждым запросом.

Примечание: отключение csrf делает приложение менее безопасным, лучше всего отправить csrf токен.

Answer 3

Пожалуйста, настройте ваш http следующим образом:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        //configureothers if u wants.
        .csrf().disable();
}

Пожалуйста, прочитайте больше CSRF

Answer 4

403 означает, что у вас нет авторизации.Даже если вы закомментировали свой метод, ваш код по-прежнему будет предварительно настроен с безопасным доступом по умолчанию.

Вы можете добавить:

http.authorizeRequests()
   .antMatchers("/users/**").permitAll();

ОБНОВЛЕНИЕ: Конфигурация с отключенным csrf:

http.csrf()
     .ignoringAntMatchers("/users/**")
     .and()
     .authorizeRequests()
        .antMatchers("/users/**").permitAll();