问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

无法验证提供的 CSRF 令牌,因为在 spring security 中找不到您的会话

社区维基
1
新手上路,请多包涵

我正在使用 spring security 和 java config

 @Override
protected void configure(HttpSecurity http) throws Exception {
    http
    .authorizeRequests()
    .antMatchers("/api/*").hasRole("ADMIN")
    .and()
    .addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
    .exceptionHandling()
    .authenticationEntryPoint(restAuthenticationEntryPoint)
    .and()
    .formLogin()
    .successHandler(authenticationSuccessHandler)
    .failureHandler(new SimpleUrlAuthenticationFailureHandler());

我正在使用 PostMan 来测试我的 REST 服务。我成功获得“csrf 令牌”,并且能够在请求标头中使用 X-CSRF-TOKEN 登录。但是在我点击发布请求时登录后(我在用于登录发布请求的请求标头中包含相同的令牌)我收到以下错误消息:

HTTP 状态 403 - 无法验证提供的 CSRF 令牌,因为未找到您的会话。

谁能指导我做错了什么。

原文由 Haseeb Wali 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javaspring-securitycsrfspring-restcontroller
阅读 811
1 个回答
得票最新
社区维基
1

根据 spring.io:

什么时候应该使用 CSRF 保护?我们的建议是对普通用户可以通过浏览器处理的任何请求使用 CSRF 保护。如果您只是创建一个供非浏览器客户端使用的服务,您可能希望禁用 CSRF 保护。

所以要禁用它:

 @Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

注意: Java 配置默认启用 CSRF 保护

原文由 Derick Daniel 发布,翻译遵循 CC BY-SA 3.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题