spring security认证机制的Invalid CSRF Token问题
spring security在集成spring boot的微服务框架后,进行了cas认证和权限控制。但是在请求过程中,发现了一个问题
1.关于错误
错误指出,请求中出现了不可用的CSRF令牌。
查阅资料后发现这是一个RESTful技术与CSRF(Cross-site request forgery跨站请求伪造)的冲突造成的,CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。
传统的session id容易被第三方窃取攻击,spring security4.0版本之后,引入了CSRF的概念。
spring security为了正确的区别合法的post请求,采用了token的机制。过程大致为get请求会从服务器端拿到一个token,这个token被拿来当做header参数通过post请求传递至服务器。
服务器通过区分这个token值是否合法来判定是否是正常的post请求(而非第三方攻击)。
2.解决
spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf。
开发环境手动关闭csrf
@Override
protected void configure(HttpSecurity http) throws Exception {
//访问控制内容。。。。。
http .csrf().disable();
}