在 spring-security 中更改 csrf 令牌
Posted
技术标签:
【中文标题】在 spring-security 中更改 csrf 令牌【英文标题】:change csrf token in spring-security 【发布时间】:2014-12-06 10:03:08 【问题描述】:我在 Spring Security 中使用 csrf,像这样
<http auto-config="false" >
...
<csrf />
...
</http>
并像这样放入每个jsp页面
<meta name="_csrf" content="$_csrf.token" />
<meta name="_csrf_header" content="$_csrf.headerName" />
问题是,每次我刷新页面时,我都想更改令牌。但只要用户登录,令牌就不会改变。
【问题讨论】:
我是古玩,为什么要在每次页面刷新时更改令牌? 登录用户可能正在计划攻击。软件的安全性对我们很重要。 【参考方案1】:Spring 默认使用 per-session csrf,你可以查看here 了解它的实现。 根据更改令牌,我建议您实施自己的 .并在需要时调用其方法重置令牌。
【讨论】:
以上是关于在 spring-security 中更改 csrf 令牌的主要内容,如果未能解决你的问题,请参考以下文章
Grails Spring-Security - 如何比较密码-
在使用 Oauth、SAML 和 spring-security 的多租户的情况下从 spring-security.xml 中获取错误