这是你的选择：）
Spring Security为CSRF令牌提供OOTB支持，默认情况下是启用的。我们不需要任何特定的步骤来启用此功能，但是，您可以通过Spring安全配置类中的csrf（）.disable（）禁用此功能。
我们应该为以下用例激活Spring安全CSRF：
1.如果是普通用户触发请求。
1.以防它被浏览器处理。
我们可以禁用此功能，以防浏览器或用户以外的客户端启动并处理请求。
对于Rest API，我建议不要使用它。
但建议在使用REST API和Cookie进行身份验证时启用CSRF。如果您的REST API使用WCToken或WCTustedToken标记进行身份验证，则不需要额外的CSRF保护。
CSRF是一种恶意攻击类型，当仅使用Cookie进行身份验证时，它会诱使用户发送非预期的请求来修改数据。例如，攻击者可以诱使已通过身份验证的用户单击链接，在用户不知情的情况下更新其个人信息。在这种情况下，未受保护的HCL Commerce站点会将此请求视为有效请求，因为请求中包含正确的会话Cookie。
但是，当启用CSRF保护时，请求中需要一个名为WCAuthToken的特殊HTTP标头。如果需要该标记，则其值必须等于存储运行时设置的authToken请求属性。

不，我认为在REST API中不需要csrf标记，
您只需要在您的filterChain中启用httpBasic（）。
而在postman中，您只需要选择BasicAuth并提供您的身份验证详细信息
别忘了在下面添加一些代码。

YOUR_ANTMATCHERS
.formLogin()
.and()
.httpBasic()
.and()
.logout(LogoutConfigurer::permitAll)
.build();

我希望，它能帮上忙！