无法验证提供的 CSRF 令牌，因为在 spring 安全性中找不到您的会话

java csrf spring-security spring-restcontroller

2022-08-31 23:58:12

我正在使用弹簧安全性和java配置

@Override
protected void configure(HttpSecurity http) throws Exception { 
    http
    .authorizeRequests()
    .antMatchers("/api/*").hasRole("ADMIN")
    .and()
    .addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
    .exceptionHandling()
    .authenticationEntryPoint(restAuthenticationEntryPoint)
    .and()
    .formLogin()
    .successHandler(authenticationSuccessHandler)
    .failureHandler(new SimpleUrlAuthenticationFailureHandler());

我正在使用PostMan来测试我的REST服务。我成功获得“csrf令牌”，并且能够使用请求标头登录。但是登录后，当我点击post请求（我在用于登录post请求的请求标头中包含相同的令牌）时，我收到以下错误消息：X-CSRF-TOKEN

HTTP 状态 403 - 无法验证提供的 CSRF 令牌，因为找不到您的会话。

任何人都可以指导我做错了什么。

答案 1

根据 spring.io：

何时应使用 CSRF 保护？我们的建议是对普通用户可能由浏览器处理的任何请求使用CSRF保护。如果您只创建由非浏览器客户端使用的服务，则可能需要禁用 CSRF 保护。

因此，要禁用它：

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

注意：默认情况下，CSRF 保护在 Java 配置下处于启用状态

答案 2

试试这个：@Override protected boolean sameOriginDisabled() { return true;}

@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {

    ...

    // Determines if a CSRF token is required for connecting. This protects against remote
    // sites from connecting to the application and being able to read/write data over the
    // connection. The default is false (the token is required).
    @Override
    protected boolean sameOriginDisabled() {
        return true;
    }
}

来源：WebSocket Security： Disable CSRF in WebSockets