spring security认证机制的Invalid CSRF Token问题
spring security在集成spring boot的微服务框架后,进行了cas认证和权限控制。可是在请求过程当中,发现了一个问题
spring
1.关于错误
错误指出,请求中出现了不可用的CSRF令牌。服务器
查阅资料后发现这是一个RESTful技术与CSRF(Cross-site request forgery跨站请求伪造)的冲突形成的,CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。session
传统的session id容易被第三方窃取攻击,spring security4.0版本以后,引入了CSRF的概念。框架
spring security为了正确的区别合法的post请求,采用了token的机制。过程大体为get请求会从服务器端拿到一个token,这个token被拿来当作header参数经过post请求传递至服务器。ide
服务器经过区分这个token值是否合法来断定是不是正常的post请求(而非第三方攻击)。微服务
2.解决
spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf。post
开发环境手动关闭csrfspa
@Overridecsrf
protected void configure(HttpSecurity http) throws Exception {blog
//访问控制内容。。。。。
http .csrf().disable();
}
相关文章
- 1. Spring Security权限控制 + JWT Token 认证
- 2. Spring Security + JWT token 作权限认证
- 3. websocket配合spring-security使用token认证
- 4. spring-security+jwt认证
- 5. spring security 自定义认证
- 6. Spring Security - 配置免认证访问 Swagger
- 7. Spring Boot+Spring Security+JWT 实现token验证
- 8. Java实现JWT的Token认证机制
- 9. Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
- 10. Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • ARP协议的工作机制详解 - TCP/IP教程
- • 漫谈MySQL的锁机制
- • PHP Ajax 跨域问题最佳解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Spring Security权限控制 + JWT Token 认证
- 2. Spring Security + JWT token 作权限认证
- 3. websocket配合spring-security使用token认证
- 4. spring-security+jwt认证
- 5. spring security 自定义认证
- 6. Spring Security - 配置免认证访问 Swagger
- 7. Spring Boot+Spring Security+JWT 实现token验证
- 8. Java实现JWT的Token认证机制
- 9. Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
- 10. Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)