spring security认证机制的Invalid CSRF Token问题

 spring security在集成spring boot的微服务框架后，进行了cas认证和权限控制。但是在请求过程中，发现了一个问题

1.关于错误

错误指出，请求中出现了不可用的CSRF令牌。

查阅资料后发现这是一个RESTful技术与CSRF(Cross-site request forgery跨站请求伪造)的冲突造成的，CSRF默认支持的方法： GET|HEAD|TRACE|OPTIONS，不支持POST。

传统的session id容易被第三方窃取攻击，spring security4.0版本之后，引入了CSRF的概念。

spring security为了正确的区别合法的post请求，采用了token的机制。过程大致为get请求会从服务器端拿到一个token,这个token被拿来当做header参数通过post请求传递至服务器。

服务器通过区分这个token值是否合法来判定是否是正常的post请求（而非第三方攻击）。

2.解决

spring Security 3默认关闭csrf，Spring Security 4默认启动了csrf。

开发环境手动关闭csrf

@Override

protected void configure(HttpSecurity http) throws Exception {

     //访问控制内容。。。。。

 

     http .csrf().disable();

}