Spring Boot(七):Spring Security如何启用与禁用CSRF

从Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:

There was an unexpected error (type=Forbidden, status=403).
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.

1. 禁用CSRF机制

禁用CSRF机制能非常完美地兼容Spring Security老版本,但在Spring Boot的实现中,如果继续沿用老版本的配置,大部分的人会碰到以下错误:

An Authentication object was not found in the SecurityContext

这是因为Spring MVC自动代理所有的请求导致的问题,所以解决办法很简单,将多个“http”配置转换为一个“http”配置,并且禁止使用“security=”none””,下面是错误的写法:

<sec:http pattern="/login.html*" security="none"/>

正确的写法如下:

<
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值