spring-security 如何将Spring Security的CSRF特性用于无状态端点?

yxyvkwin  于 2022-11-11  发布在  Spring
关注(0)|答案(2)|浏览(141)

我正在使用Spring Security和无状态Web服务。我想使用Spring Security 3.2中的CSRF功能。这对无状态Web应用程序来说可能吗?
这是相关的JavaConfig,因为我必须暂时禁用CSRF。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .sessionFixation().none().and()
            .csrf().disable();
}
jfewjypa

jfewjypa1#

如果您的服务真的是无状态的,CSRF保护可能根本没有意义。只要服务器不使用cookie来识别/验证用户,您的服务就不容易受到CSRF攻击。
有关详细说明,请参见http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

ebdffaop

ebdffaop2#

如果您的应用程序或API将被浏览器访问,则需要CSRF保护。
参考演示:Spring安全和Angular
https://spring.io/guides/tutorials/spring-security-and-angular-js/#_the_login_page_angular_js_and_spring_security_part_ii

相关问题