Spring Security、无状态 REST 服务和 CSRF

我有一个REST服务，使用Java，Spring-boot和使用Spring Security with Basic Access Authentication构建。没有视图，没有JSP等，没有“登录”，只有无状态服务，可以从单独托管的React应用程序中调用。

我已经阅读了有关CSRF保护的各种文档，但无法决定我应该使用spring-security CSRF配置，还是只是禁用它？如果我禁用了 csrf 保护，我可以使用我的基本身份验证调用 curl 服务，如下所示：

curl -H "authorization:Basic c35sdfsdfjpzYzB0dDFzaHA=" -H "content-type:application/json" -d '{"username":"user","password":"password","roles":"USER"}' localhost:8081/api/v1/user

如果我启用了 csrf 保护并提供标头，则弹簧 CsrfFilter 会尝试根据 .但是，由于它是无状态的REST服务，因此我没有会话，也没有“登录”。x-csrf-tokenHttpServletRequest

我有一个配置类，看起来像这样：

@EnableWebSecurity
@Configuration
public class ServiceSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().fullyAuthenticated()
                .and().httpBasic();
        if (!serviceProperties.isCsrfEnabled()) {
            http.csrf().disable();
        }
    }

我越想越觉得我只需要禁用CSRF保护。有没有另一种方法可以配置弹簧安全性，以便它能够正常工作？

谢谢