无状态服务 java_Spring Security,无状态REST服务和CSRF

我有一个REST服务,它使用Java,Spring-boot和带有基本访问身份验证的Spring

Security构建。没有视图,没有JSP等,没有“登录”,只有可以从单独托管的React应用调用的无状态服务。

我已经阅读了许多有关CSRF保护的文档,但是无法决定我应该使用spring-security

CSRF配置还是仅禁用它?如果禁用csrf保护,则可以使用我的基本身份验证使用curl调用服务,如下所示:

curl -H "authorization:Basic c35sdfsdfjpzYzB0dDFzaHA=" -H "content-type:application/json" -d '{"username":"user","password":"password","roles":"USER"}' localhost:8081/api/v1/user

如果我启用了csrf保护并提供了x-csrf-

token标头,则SpringCsrfFilter会尝试根据(我认为)会话cookie中的值进行交叉检查HttpServletRequest。但是,由于它是无状态的REST服务,所以我没有会话,也没有“登录”。

我有一个配置类,看起来像这样:

@EnableWebSecurity

@Configuration

public class ServiceSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.anyRequest().fullyAuthenticated()

.and().httpBasic();

if (!serviceProperties.isCsrfEnabled()) {

http.csrf().disable();

}

}

我考虑得越多,似乎越需要禁用CSRF保护。还有另一种配置spring安全性的方法,它可以工作吗?

谢谢

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值