我有一个REST服务,它使用Java,Spring-boot和带有基本访问身份验证的Spring
Security构建。没有视图,没有JSP等,没有“登录”,只有可以从单独托管的React应用调用的无状态服务。
我已经阅读了许多有关CSRF保护的文档,但是无法决定我应该使用spring-security
CSRF配置还是仅禁用它?如果禁用csrf保护,则可以使用我的基本身份验证使用curl调用服务,如下所示:
curl -H "authorization:Basic c35sdfsdfjpzYzB0dDFzaHA=" -H "content-type:application/json" -d '{"username":"user","password":"password","roles":"USER"}' localhost:8081/api/v1/user
如果我启用了csrf保护并提供了x-csrf-
token标头,则SpringCsrfFilter会尝试根据(我认为)会话cookie中的值进行交叉检查HttpServletRequest。但是,由于它是无状态的REST服务,所以我没有会话,也没有“登录”。
我有一个配置类,看起来像这样:
@EnableWebSecurity
@Configuration
public class ServiceSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().fullyAuthenticated()
.and().httpBasic();
if (!serviceProperties.isCsrfEnabled()) {
http.csrf().disable();
}
}
我考虑得越多,似乎越需要禁用CSRF保护。还有另一种配置spring安全性的方法,它可以工作吗?
谢谢