CSRF対策したページにブラウザの異なるタブからログイン

現状

SpringBoot、thymeleafを使用して、ＷＥＢアプリケーションを作成しています。
ログイン画面を実装しているため、Spring Securityを利用しており、
ＣＳＲＦ対策としてトークンを発行しＷＥＢ画面に埋め込まれるようにしております。

html
1	<!-- ＣＳＲＦ対策用トークン埋め込み -->
2	<input type="hidden" id="crsf_tokn" th:value="${_csrf.token}"></input>

上記の状態で、ブラウザ（Ｃｈｒｏｍｅを使用）上の異なるタブからＷＥＢアプリケーションした際、
１タブ目のログイン後、２タブ目でログインしようとすると、以下のエラーが発生します。

Whitelabel Error Page

This application has no explicit mapping for /error, so you are seeing this as a fallback.

Mon Apr 10 18:45:49 JST 2017
There was an unexpected error (type=Forbidden, status=403).
Invalid CSRF Token '9ffc4be1-4a5e-48c3-880b-db6c8e741078' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

トークンの値が現在のセションに紐づくものでない（'9ffc4be1-4a5e-48c3-880b-db6c8e741078'ではない）ため、
エラーが出ているのではないかと思っています。
画面を操作する上で、発行されるトークンの値は以下のようになっています（トークン値が長いのでＡＢＣ･･･で書いています）
・１タブ目のログイン画面・・・トークン値はＡ
・２タブ目のログイン画面・・・トークン値はＡ
・１タブ目のログイン以降の画面・・・トークン値はＢ
・２タブ目のログインしようとしたときに上記エラーが発生（トークン値がＢでないため）

質問

【質問１】
１タブ目のログイン前後でトークンの値が変更するのはなぜですか？
セッションが同じであればトークンも同じだと思っていたのですが。。。

【質問２】
２タブ目でもログインできるようにする方法がありますでしょうか？

以上、よろしくお願い致します。

行動規範の内容に同意します

回答2件

トークンにセッションIDやセッションIDから導出した値を用いる実装のため、ログイン時にセッションIDが振り直されトークンも変化した
ログイン操作などセッションIDが振り直される際には既存のトークンが無効化される
セッションIDとは無関係にワンタイムトークンが使用される

フレームワークの実装次第なのですが、こういうことが考えられます。｢セッションが同じであればトークンは変化しない」というものでもありません。

２タブ目でもログインできるようにする方法がありますでしょうか？

タブが別でもセッションは同一ですので、2タブ目も既にログインしている状態と言えます。これまたフレームワークの実装次第なのですが、ログイン処理を行う前にログイン状態をチェックしてログイン後の画面にリダイレクトする処理が追加できませんか。

投稿2017/04/10 21:55

suzukis

総合スコア1449

plue

2017/04/11 00:59

回答いただきありがとうございます。セッションが同じでもトークンが異なることがあるのですね。 SpringBootにログイン状態をチェックできる機能があるかどうか、調べてみたいと思います。

行動規範の内容に同意します

ベストアンサー

1タブ目はログインした＝つまりサーバへリクエスト～レスポンスしているので、トークンの値は更新されたものがセッション＋画面に反映されます。
対して2タブ目は何もしていませんので、トークンの値はそのままですが、セッションの値は他の値（1タブ目の値）になっていますので、2タブ目を操作するとCSRFトークンチェックエラーです。

リクエストパラメータにトークンを埋め込む方法では複数タブに対応できませんので、CookieCsrfTokenRepository を用いてクッキーにトークンを発行する方法であれば実現できるでしょうか。セキュリティ要件次第なところもありますが…。

https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-cookie

投稿2017/04/11 06:35