从Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:
There was an unexpected error (type=Forbidden, status=403).
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.
1. 禁用CSRF机制
禁用CSRF机制能非常完美地兼容Spring Security老版本,但在Spring Boot的实现中,如果继续沿用老版本的配置,大部分的人会碰到以下错误:
An Authentication object was not found in the SecurityContext
这是因为Spring MVC自动代理所有的请求导致的问题,所以解决办法很简单,将多个“http”配置转换为一个“http”配置,并且禁止使用“security=”none””,下面是错误的写法:
<sec:http pattern="/login.html*" security="none"/>
正确的写法如下:
<