前后端不分离项目中，SpringSecurity 为什么局部刷新的url 会403

对于前后端不分离的项目，SpringSecurity 会默认开启 CSRF（跨站请求伪造）保护，以防止 CSRF 攻击。当使用 AJAX 发送 POST、PUT、DELETE 等请求时，需要在请求头中加入 CSRF Token 来通过 SpringSecurity 的验证。如果没有在请求头中加入 CSRF Token，SpringSecurity 会认为该请求是不合法的，从而返回 403 错误。

在局部刷新的情况下，可以通过在模板页面中添加 CSRF Token 来解决该问题。例如，在使用 Thymeleaf 模板引擎的项目中，可以在表单中添加如下代码：

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

这样在局部刷新时，就会将 CSRF Token 加入到请求头中，从而通过 SpringSecurity 的验证。

相关问题

SpringSecurity 为什么局部刷新的url 会403

Spring Security 是基于 Servlet Filter 实现的安全框架，它默认会对所有请求进行安全检查，包括局部刷新的 AJAX 请求。如果 AJAX 请求的 URL 没有被授权，Spring Security 会返回 403 禁止访问的错误。

解决这个问题的方法有以下两种：

1.配置 Spring Security 忽略 AJAX 请求

在 Spring Security 的配置类中，可以添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .csrf().disable()
            .headers().frameOptions().disable();
    }
 
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
    }
 
}

其中，`.antMatchers("/api/**").permitAll()` 表示忽略 `/api/` 开头的 AJAX 请求的安全检查。

2.在 AJAX 请求中添加 CSRF Token

如果不想忽略 AJAX 请求的安全检查，可以在 AJAX 请求中添加 CSRF Token，这样 Spring Security 就会认为该请求是安全的。具体方法是在页面中添加如下代码：

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />

然后在 AJAX 请求的头部中添加以下代码：

headers: {
    "${_csrf.headerName}": "${_csrf.token}"
}

这样就可以保证 AJAX 请求的安全性，并且不会返回 403 禁止访问的错误。

前后端分离项目中使用springsecurity

在前后端分离项目中使用Spring Security可以实现认证和授权的功能。在这种项目中，前端发送的请求需要携带正确的token才能访问资源。\[1\]前端在每次请求中将token加入请求头中，并按照约定的key设置token。后端使用Spring Security的BasicAuthenticationFilter来进行认证处理。\[2\]

具体实现步骤如下：
1. 前端在请求中将token加入请求头中，以便后端进行验证。可以使用请求拦截器来实现，在请求之前将token放入请求头中。
2. 后端使用Spring Security的BasicAuthenticationFilter来进行认证处理。该过滤器会从请求头中获取token，并进行验证。
3. 后端验证token的正确性，决定是否放行访问资源。可以根据业务需求自定义验证逻辑，例如验证token的有效期、权限等。
4. 如果token验证失败，后端可以返回相应的错误信息给前端。前端可以根据错误信息进行相应的处理，例如跳转到登录页面或显示错误提示。

总结来说，前后端分离项目中使用Spring Security可以通过前端携带token并在后端进行验证来实现认证和授权的功能。这样可以确保只有携带正确token的请求才能访问受保护的资源。
#### 引用[.reference_title]
- *1* *2* [Spring Security&前后端分离项目的使用](https://blog.csdn.net/LeptoK/article/details/120710416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]