Spring Security Oauth2 : Possible CSRF detected

Spring Security Oauth2 : Possible CSRF detected

使用Spring Security 作为 Oauth2 授权服务器时，在授权服务器登录授权后，重定向到客户端服务器时，出现了401 Unauthorized 错误。明明已经授权了，为何还会未授权了。

跟踪代码发现，抛出了这个异常：

"Possible CSRF detected - state parameter was required but no state could be found"
导致这个异常的原因是，我在本地部署调试授权服务程序，和客户端服务程序，均采用的是localhost域名，只是端口不同，这就导致两个web程序在写Session的cookie标识id(JSESSIONID)
时会被覆盖。

具体发送的场景流程是，授权服务登录授权后，会重定向到客户端的授权地址，这时会在session域中取出OAuth2ClientContext ，代码在OAuth2RestOperationsConfiguration类中：

 @Bean
 @Scope(value = "session", proxyMode = ScopedProxyMode.INTERFACES)
 public DefaultOAuth2ClientContext oauth2ClientContext() {
     return new DefaultOAuth2ClientContext(this.accessTokenRequest);
}

此时，由于Session的标识id被覆盖，自然认为不在一个会话中，那就不会取到原来在客户端要求授权跳转前存放的OAuth2ClientContext，也就导致了爆出这个异常：

private MultiValueMap<String, String> getParametersForTokenRequest(AuthorizationCodeResourceDetails resource,
			AccessTokenRequest request) {

		MultiValueMap<String, String> form = new LinkedMultiValueMap<String, String>();
		form.set("grant_type", "authorization_code");
		form.set("code", request.getAuthorizationCode());

		Object preservedState = request.getPreservedState();
		if (request.getStateKey() != null || stateMandatory) {
			// The token endpoint has no use for the state so we don't send it back, but we are using it
			// for CSRF detection client side...
			if (preservedState == null) {
				throw new InvalidRequestException(
						"Possible CSRF detected - state parameter was required but no state could be found");
			}
		}

		//省略代码...
		return form;

	}

　那么如何解决这个问题呢？

1.为不同web程序采用不同的域名，由于是本地部署，那么可以为本机配置几个127.0.0.1 的 域名，如同localhost 指向 本机回还地址一样。这个本机域名配置可以自行百度。

2.为session的标识id采用不同的名称，如授权服务器用SESSIONID,客户端JSESSIONID不变.(如果多个客户端,那就重命名，以免干涉)，以下是如何设置：

2.1   Spring Mvc  web.xml

 <session-config>
  <cookie>
    <name>SESSIONID</name>
  </cookie>
 </session-config>

2.2 Spring MVC JavaConfig

public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
  @Override
  public void onStartup(ServletContext servletContext) throws ServletException {
    super.onStartup(servletContext);
    servletContext.getSessionCookieConfig().setName("SESSIONID");
  }

   //省略其他配置

}

　2.3 SpringBoot

@SpringBootApplication
@ComponentScan(basePackages = "com.test")
public class LoginApplication implements ServletContextInitializer {
    public static void main(String[] args) {
        SpringApplication.run(LoginApplication.class, args);
    }

    @Override
    public void onStartup(ServletContext servletContext)
            throws ServletException {
        servletContext.getSessionCookieConfig().setName("SESSIONID");
    }
}

　　或者在application.yml 文件中配置：

server:
  port: 8081
  tomcat:
    uri-encoding: UTF-8
  session:
   cookie:
     name: SESSIONID