spring security認證機制的Invalid CSRF Token問題

 spring security在集成spring boot的微服務框架後，進行了cas認證和權限控制。可是在請求過程當中，發現了一個問題

1.關於錯誤

錯誤指出，請求中出現了不可用的CSRF令牌。

查閱資料後發現這是一個RESTful技術與CSRF(Cross-site request forgery跨站請求僞造)的衝突形成的，CSRF默認支持的方法： GET|HEAD|TRACE|OPTIONS，不支持POST。

傳統的session id容易被第三方竊取攻擊，spring security4.0版本以後，引入了CSRF的概念。

spring security爲了正確的區別合法的post請求，採用了token的機制。過程大體爲get請求會從服務器端拿到一個token,這個token被拿來當作header參數經過post請求傳遞至服務器。

服務器經過區分這個token值是否合法來斷定是不是正常的post請求（而非第三方攻擊）。

2.解決

spring Security 3默認關閉csrf，Spring Security 4默認啓動了csrf。

開發環境手動關閉csrf

@Override

protected void configure(HttpSecurity http) throws Exception {

     //訪問控制內容。。。。。

 

     http .csrf().disable();

}