spring security在集成spring boot的微服務框架后,進行了cas認證和權限控制。但是在請求過程中,發現了一個問題
1.關於錯誤
錯誤指出,請求中出現了不可用的CSRF令牌。
查閱資料后發現這是一個RESTful技術與CSRF(Cross-site request forgery跨站請求偽造)的沖突造成的,CSRF默認支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。
傳統的session id容易被第三方竊取攻擊,spring security4.0版本之后,引入了CSRF的概念。
spring security為了正確的區別合法的post請求,采用了token的機制。過程大致為get請求會從服務器端拿到一個token,這個token被拿來當做header參數通過post請求傳遞至服務器。
服務器通過區分這個token值是否合法來判定是否是正常的post請求(而非第三方攻擊)。
2.解決
spring Security 3默認關閉csrf,Spring Security 4默認啟動了csrf。
開發環境手動關閉csrf
@Override
protected void configure(HttpSecurity http) throws Exception {
//訪問控制內容。。。。。
http .csrf().disable();
}