gpt4 book ai didi

带有 JWT 身份验证和 csrf token 的 Spring 启动无状态应用程序

转载 作者:行者123 更新时间:2023-12-03 16:50:34 24 4
gpt4 key购买 nike

我有带有 JWT 身份验证的 Spring 启动应用程序,效果很好!
但是我已经使用 STATELESS 策略禁用了 csrf:

        .csrf()
.disable()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)

此 Rest API 用于 SPA React 应用程序。我读到当我使用 JWT token 时,我不需要设置 csrf token 。 JWT 是否像 csrf 保护(如何)一样工作?我认为这不是 csrf 保护。

最佳答案

CSRF 攻击是利用浏览器总是在对请求的服务器的请求中包含 cookie(包括 session ID)这一事实,因此攻击者在执行恶意操作时假装他是真正的用户。
如果您的端点是无状态的(这意味着您没有使用 cookie 进行身份验证),那么您不需要 CSRF 保护。

关于带有 JWT 身份验证和 csrf token 的 Spring 启动无状态应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58493628/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com