HTTP 405 不允许 - Spring 引导 + Spring 安全
HTTP 405 Not Allowed - Spring Boot + Spring Security
我有一个简单的 rest API 可以与数据库一起使用。在我添加安全部分之前它工作正常。现在它在 POST 和 DELETE 请求上给出 HTTP 405 Not Allowed。我不知道为什么。 GET 请求正常工作。
所以这里是控制器 class:
@Controller
public class MarkerController {
private Logger logger = Logger.getLogger(MarkerController.class.getName());
@Autowired
private MarkerServiceInterface markerService;
@RequestMapping(value="/markers", method=RequestMethod.GET)
public @ResponseBody List<Marker> getMarkers(@RequestParam(value="city", defaultValue="") String city) {
logger.info("HANDLE GET REQUEST");
return this.markerService.getAllMarkers();
}
@RequestMapping(value="/markers/new", method=RequestMethod.POST)
public @ResponseBody Marker addMarker(@RequestBody Marker marker) {
logger.info("HANDLE POST REQUEST");
this.markerService.addMarker(marker);
return marker;
}
@RequestMapping(value="/markers/delete", method=RequestMethod.DELETE)
public @ResponseBody String deleteMarker(@RequestParam(value="id", defaultValue="") String id) {
logger.info("HANDLE DELETE REQUEST");
if (!id.equals("")) {
logger.info(id);
this.markerService.deleteMarker(Long.parseLong(id));
}
return "";
}
@RequestMapping(value="/admin/map")
public String trafficSpy() {
logger.info("HANDLE MAP");
return "index";
}
@RequestMapping(value="/admin")
public String admin() {
return "admin";
}
@RequestMapping(value="/login")
public String login() {
return "login";
}
}
这是安全配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
@Qualifier("userDetailsService")
UserDetailsService userDetailsService;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth)
throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(
passwordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**")
.access("hasRole('ROLE_ADMIN')")
.antMatchers("/markers/**")
.access("hasRole('ROLE_USER')")
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login?error")
.usernameParameter("username")
.passwordParameter("password")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.and()
.csrf()
.and()
.exceptionHandling()
.accessDeniedPage("/403");
}
@Bean
public PasswordEncoder passwordEncoder() {
PasswordEncoder encoder = new BCryptPasswordEncoder();
return encoder;
}
@Bean
public DaoAuthenticationProvider authProvider() {
DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
authProvider.setUserDetailsService(userDetailsService);
authProvider.setPasswordEncoder(passwordEncoder());
return authProvider;
}
}
使用以下 ajax 代码调用 DELETE 请求:
$.ajax({
url: "localhost:8080/markers/delete?id=" + currentMarker.get("id"),
type: 'DELETE',
success: function(result) {
console.log(result);
}
});
这是控制台中给出的消息:
2015-05-11 15:48:13.671 WARN 8279 --- [nio-8181-exec-6] o.s.web.servlet.PageNotFound : Request method 'DELETE' not supported
这些是响应的 headers。我可以看到在 AlLLOW 中我只有 GET 和 HEAD。所以如果我是对的,这意味着控制器中的方法只接受 GET 和 HEAD 请求。
(Status-Line) HTTP/1.1 405 Method Not Allowed
Server Apache-Coyote/1.1
x-content-type-options nosniff
x-xss-protection 1; mode=block
Cache-Control no-cache, no-store, max-age=0, must-revalidate
Pragma no-cache
Expires 0
X-Frame-Options DENY
Allow GET, HEAD
Content-Type application/json;charset=UTF-8
Transfer-Encoding chunked
Date Mon, 11 May 2015 17:35:31 GMT
在响应中我有这个异常:
org.springframework.web.HttpRequestMethodNotSupportedException
知道是什么导致了这个问题吗?如何允许 POST 和 DELETE 方法?
您忘记了 csrf-Token。
建议您在元标签中添加csrf-Token。您可以在 Spring Security Documentation
中阅读
有了它,您可以执行以下操作:
$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});
我想留下一个额外的解决方案,因为虽然马努子的答案是正确的,但我不是很清楚为什么我第一次遇到这个问题并找到了这个答案。
根本问题被 405 方法不允许的直接问题所掩盖。
就我而言,有两个因素在起作用。首先,我的 AccessDenied 控制器没有 POST 方法,当 POST 方法被拒绝并重定向到 AccessDenied 控制器时,会导致 405。这仅在 org.springframework.web 上打开调试日志记录后才明显。
弄清楚这一点后,接下来就是弄清楚为什么我的访问被拒绝了。所有的权限和角色都是正确的,但是从 Spring 3 升级到 4,我发现默认启用了 CSRF 保护。要么禁用,要么用马奴子的方案。
要禁用它,请参阅:
spring security 4 csrf disable via xml
在我的例子中,协议必须是 https 而不是 http
我有一个简单的 rest API 可以与数据库一起使用。在我添加安全部分之前它工作正常。现在它在 POST 和 DELETE 请求上给出 HTTP 405 Not Allowed。我不知道为什么。 GET 请求正常工作。
所以这里是控制器 class:
@Controller
public class MarkerController {
private Logger logger = Logger.getLogger(MarkerController.class.getName());
@Autowired
private MarkerServiceInterface markerService;
@RequestMapping(value="/markers", method=RequestMethod.GET)
public @ResponseBody List<Marker> getMarkers(@RequestParam(value="city", defaultValue="") String city) {
logger.info("HANDLE GET REQUEST");
return this.markerService.getAllMarkers();
}
@RequestMapping(value="/markers/new", method=RequestMethod.POST)
public @ResponseBody Marker addMarker(@RequestBody Marker marker) {
logger.info("HANDLE POST REQUEST");
this.markerService.addMarker(marker);
return marker;
}
@RequestMapping(value="/markers/delete", method=RequestMethod.DELETE)
public @ResponseBody String deleteMarker(@RequestParam(value="id", defaultValue="") String id) {
logger.info("HANDLE DELETE REQUEST");
if (!id.equals("")) {
logger.info(id);
this.markerService.deleteMarker(Long.parseLong(id));
}
return "";
}
@RequestMapping(value="/admin/map")
public String trafficSpy() {
logger.info("HANDLE MAP");
return "index";
}
@RequestMapping(value="/admin")
public String admin() {
return "admin";
}
@RequestMapping(value="/login")
public String login() {
return "login";
}
}
这是安全配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
@Qualifier("userDetailsService")
UserDetailsService userDetailsService;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth)
throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(
passwordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**")
.access("hasRole('ROLE_ADMIN')")
.antMatchers("/markers/**")
.access("hasRole('ROLE_USER')")
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login?error")
.usernameParameter("username")
.passwordParameter("password")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.and()
.csrf()
.and()
.exceptionHandling()
.accessDeniedPage("/403");
}
@Bean
public PasswordEncoder passwordEncoder() {
PasswordEncoder encoder = new BCryptPasswordEncoder();
return encoder;
}
@Bean
public DaoAuthenticationProvider authProvider() {
DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
authProvider.setUserDetailsService(userDetailsService);
authProvider.setPasswordEncoder(passwordEncoder());
return authProvider;
}
}
使用以下 ajax 代码调用 DELETE 请求:
$.ajax({
url: "localhost:8080/markers/delete?id=" + currentMarker.get("id"),
type: 'DELETE',
success: function(result) {
console.log(result);
}
});
这是控制台中给出的消息:
2015-05-11 15:48:13.671 WARN 8279 --- [nio-8181-exec-6] o.s.web.servlet.PageNotFound : Request method 'DELETE' not supported
这些是响应的 headers。我可以看到在 AlLLOW 中我只有 GET 和 HEAD。所以如果我是对的,这意味着控制器中的方法只接受 GET 和 HEAD 请求。
(Status-Line) HTTP/1.1 405 Method Not Allowed
Server Apache-Coyote/1.1
x-content-type-options nosniff
x-xss-protection 1; mode=block
Cache-Control no-cache, no-store, max-age=0, must-revalidate
Pragma no-cache
Expires 0
X-Frame-Options DENY
Allow GET, HEAD
Content-Type application/json;charset=UTF-8
Transfer-Encoding chunked
Date Mon, 11 May 2015 17:35:31 GMT
在响应中我有这个异常:
org.springframework.web.HttpRequestMethodNotSupportedException
知道是什么导致了这个问题吗?如何允许 POST 和 DELETE 方法?
您忘记了 csrf-Token。
建议您在元标签中添加csrf-Token。您可以在 Spring Security Documentation
中阅读有了它,您可以执行以下操作:
$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});
我想留下一个额外的解决方案,因为虽然马努子的答案是正确的,但我不是很清楚为什么我第一次遇到这个问题并找到了这个答案。
根本问题被 405 方法不允许的直接问题所掩盖。
就我而言,有两个因素在起作用。首先,我的 AccessDenied 控制器没有 POST 方法,当 POST 方法被拒绝并重定向到 AccessDenied 控制器时,会导致 405。这仅在 org.springframework.web 上打开调试日志记录后才明显。
弄清楚这一点后,接下来就是弄清楚为什么我的访问被拒绝了。所有的权限和角色都是正确的,但是从 Spring 3 升级到 4,我发现默认启用了 CSRF 保护。要么禁用,要么用马奴子的方案。
要禁用它,请参阅: spring security 4 csrf disable via xml
在我的例子中,协议必须是 https 而不是 http