Spring Securityを用いたCSRF対策の実現方法

Spring SecurityでCSRF対策機能だけ使うには、どのような記述をxmlファイルに追加すればいいのでしょうか？

現在、Spring MVC 4.3.2を用いてWebアプリケーションを作成しています。ユーザー登録・ログイン・ログアウト機能などを、自前で実装し終わったところで、ユーザー登録・ログインフォームにCSRF対策を施したいと考えました。これも自前で実装しても良いのですが、Spring SecurityにCSRF対策を自動で行ってくれる機能があるようなので、それを使うことにしました。Spring Securityの最新版をMavenの依存性に追加し、Web上の情報にしたがって以下の設定をSpringのxmlファイルに追記しました。

xml
1<security:http auto-config="true"/>

この状態でアプリケーションを起動したところ、以下のエラーメッセージが表示されました。

org.springframework.beans.factory.NoSuchBeanDefinitionException:
    No bean named 'org.springframework.security.authenticationManager' is defined:
    Did you forget to add a global <authentication-manager> element to your configuration (with child <authentication-provider> elements)?
    Alternatively you can use the authentication-manager-ref attribute on your <http> and <global-method-security> elements.

そこで、xmlファイルの追加記述を以下のように変更しました。

xml
1<security:http auto-config="true"/>
2<security:authentication-manager/>

この変更でエラーは出ないようになったのですが、CSRFトークンがHTMLに挿入されておらず、困っています。ちなみに、web.xmlの方にはDelegatingFilterProxyを追加済みです。

xml
1<filter>
2    <filter-name>springSessionRepositoryFilter</filter-name>
3    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
4</filter>
5<filter-mapping>
6    <filter-name>springSessionRepositoryFilter</filter-name>
7    <url-pattern>/*</url-pattern>
8    <dispatcher>REQUEST</dispatcher>
9    <dispatcher>ERROR</dispatcher>
10</filter-mapping>

ご回答よろしくお願いします。

A-pZ

2016/08/11 12:33

http://ja.stackoverflow.com/questions/28196/spring-security%E3%81%AB%E3%82%88%E3%82%8Bcsrf%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E7%8F%BE%E6%96%B9%E6%B3%95 にも投稿されていましたのでコメントをしていますが、対象のHTMLないしはJSPも書くと回答が得られるのではないでしょうか。

退会済みユーザー

2016/08/11 12:38

コメントありがとうございます。Thymeleafの方にも修正が必要でしたが、それだけではないようでした。自己解決したので、解決した方法を投稿しました。

行動規範の内容に同意します

回答1件

ベストアンサー

自己解決しました。

まず、web.xmlに書くDelegatingFilterProxyですが、質問文に記載してあるものは私がspring-sessionを使うために設定したものでした。てっきりfilter-classが同じなので追加する必要はないと思っていたのですが、filter-nameによって識別されるようで、Spring Security用にspringSecurityFilterChainというfilter-nameでfilterを作成する必要があるようです。

xml
1<filter>
2    <filter-name>springSecurityFilterChain</filter-name>
3    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
4</filter>
5<filter-mapping>
6    <filter-name>springSecurityFilterChain</filter-name>
7    <url-pattern>/*</url-pattern>
8</filter-mapping>

この状態で、Spring Security自体は動くようになったと言えます。しかしながら、bean定義のxmlのほうがこれだとまだ不十分で、今のままだと、どのページにアクセスしようとしてもログインを促されてしまいます（表示されるページはSpring Securityによって用意されたものと思われます）。そこで、http要素を以下のように書き換えます。

xml
1<security:http>
2    <security:form-login login-page="/login" login-processing-url="login"/>
3</security:http>

ここで、login-pageはログインするページのURL、login-processing-urlはログインフォームのsubmit先です。

最後に、公式ドキュメントには

If you are using Spring MVC form:form tag or Thymeleaf 2.1+ and are using @EnableWebSecurity, the CsrfToken is automatically included for you (using the CsrfRequestDataValueProcessor).

と書いてありますが、自動でinputタグが作られるわけではなく、自分でCSRFトークンを入れるinputタグを作ってやらなければならないようです（使用していたのはThymeleaf 2.1.5）。

html
1<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

投稿2016/08/11 12:37

編集2016/08/11 12:39

退会済みユーザー

総合スコア0

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

Spring Securityを用いたCSRF対策の実現方法

関連した質問