gpt4 book ai didi

Spring security - 使用 REST 方法的 CSRF

转载 作者:行者123 更新时间:2023-12-05 06:16:54 29 4
gpt4 key购买 nike

我有一个 rest api,其中公开了 get、post、put 和 delete 方法。我正在使用 spring security 并实现基本身份验证。我允许具有 USER 角色的用户发出 GET 请求,而其他请求只能由具有 ADMIN 角色的用户发出。我看到,如果我不添加 crsf().disable() 行,只有 GET 方法可以正常工作,而其他方法则显示 403 Forbidden。但是,当我添加 csrf().disable() 时,所有方法都可以正常工作。这是预期的还是我做错了什么?

最佳答案

启用csrf 时,springboot 希望您在向端点发出的每个请求中发送 csrf token 。如果不包含,则请求被拒绝,您将获得 403 响应代码。它就像一个 HTTP session 。但其余端点是无状态的,因此最好不要将 csrf 与它一起使用。其余端点基本上不受 csrf 攻击,因为它们是无状态的。阅读 doc .

关于Spring security - 使用 REST 方法的 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61904486/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com