导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆
CsrfFilter 逻辑如下:
①熟悉基本类
CsrfToken 保存了token
public interface CsrfToken extends Serializable {
String getHeaderName();
String getParameterName();
String getToken();
}
CsrfTokenRepository 就是一个csrftoken容器,保存了当前会话的CsrfToken,负责生成获取token
部分字段,对应上面
private String parameterName = "_csrf";
private String headerName = "X-CSRF-TOKEN";
生成 token,token只会在创造时创建,后面不会改变
private String createNewToken() {
return UUID.randomUUID().toString();
}
②给request域添加CsrfToken
request.setAttribute(CsrfToken.class.getName(), csrfToken);
request.setAttribute(csrfToken.getParameterName(), csrfToken); "_csrf"
③判断是否如下请求(内部类)
this.allowedMethods = new HashSet(Arrays.asList("GET", "HEAD", "TRACE", "OPTIONS"));
④如果不是,则从参数或者请求头获取token
String actualToken = request.getHeader(csrfToken.getHeaderName());
if (actualToken == null) {
actualToken = request.getParameter(csrfToken.getParameterName());
}
总结:
1、get请求获取token,传递给前端
CsrfToken _csrf= (CsrfToken) httpServletRequest.getAttribute("_csrf");
2、前端post 添加一个请求头或者参数
//参数名
private String parameterName = "_csrf";
//请求头名
private String headerName = "X-CSRF-TOKEN";
3、如果某个post请求在获取token前使用
csrf().ignoringAntMatchers("/login"),则忽略