Java 弹簧安全X509-403禁止_Java_Spring_Security_Ssl Certificate_X509

Java 弹簧安全X509-403禁止

java spring security

Java 弹簧安全X509-403禁止,java,spring,security,ssl-certificate,x509,Java,Spring,Security,Ssl Certificate,X509,我正试图通过X509-客户端认证来实现一个客户端到spring boot rest API的身份验证。我已经创建了一个私钥： openssl genrsa -des3 -out client.key 1024 为了创建这个密钥，我设置了一些通用密码，比如changeit，这个密码用于所有后续的文件创建和请求接下来，我创建了一个证书签名请求： openssl req -new -key client.key -out client.csr 并设置公共名称localhost（据我所知，其他字段

我正试图通过X509-客户端认证来实现一个客户端到spring boot rest API的身份验证。我已经创建了一个私钥：

openssl genrsa -des3 -out client.key 1024

为了创建这个密钥，我设置了一些通用密码，比如

changeit

，这个密码用于所有后续的文件创建和请求

接下来，我创建了一个证书签名请求：

openssl req -new -key client.key -out client.csr

并设置公共名称

localhost

（据我所知，其他字段是不相关的？）

接下来，使用csr创建证书：

openssl x509 -req -days 3650 -in client.csr -signkey client.key -out client.crt

接下来，创建Java信任库：

keytool -import -file client.crt -alias clientCA -keystore truststore.jks

最后，将密钥库创建为.p12文件：

openssl pkcs12 -export -in client.crt -inkey client.key -certfile client.crt -name "clientcert" -out keystore.p12

在Spring boot（2.0.2版）方面，我有一个安全配置类：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.x509();
}

/*
 * localhost is the CN of the client certificate
 */
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
            .withUser("localhost")
            .password("none")
            .roles("USER");
  }
}

以及application.properties文件：

server.port=8443
logging.level.root=info

server.ssl.key-store=classpath:keystore.p12
server.ssl.key-store-password=changeit
server.ssl.trust-store=classpath:truststore.jks
server.ssl.trust-store-password=changeit
server.ssl.client-auth=need
security.headers.hsts=NONE

提交get请求，如

curl -vkE ./keystore.p12:changeit --cert-type P12  "https://localhost:8443/customers/test"

给我一个有效的响应（故意更改或忽略正确的证书抛出SSL错误），这很好

现在：如果我尝试用请求主体的相同方式提交帖子，比如

curl -kiE ./keystore.p12:changeit --cert-type P12 -X POST -H "Content-Type: application/json" --data @req-body.json  "https://localhost:8443/customers"

我得到以下回应：

HTTP/1.1 403
Set-Cookie: JSESSIONID=106214250C497F20C5F1AA02E554B316; Path=/; Secure; HttpOnly
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 16 Jul 2018 13:49:43 GMT

{"timestamp":"2018-07-16T13:49:43.335+0000","status":403,"error":"Forbidden","message":"Forbidden","path":"/customers"}%

我不知道为什么会发生这种情况（403），我恳请帮助

另外，提交GET以外的任何http方法（即使是控制器不支持的方法）：抛出相同的403-禁止

p.p.S.使用GET调用一个不存在的资源会返回一个很好的404响应。所以它与HTTP方法设置有一定关系？

找到了原因：我禁用了csrf，现在它可以工作了