在 spring-security 中更改 csrf 令牌

Posted

技术标签:

【中文标题】在 spring-security 中更改 csrf 令牌【英文标题】:change csrf token in spring-security 【发布时间】:2014-12-06 10:03:08 【问题描述】:

我在 Spring Security 中使用 csrf,像这样

<http auto-config="false" >
    ...
    <csrf />
    ...
</http>

并像这样放入每个jsp页面

<meta name="_csrf" content="$_csrf.token" />
<meta name="_csrf_header" content="$_csrf.headerName" />

问题是,每次我刷新页面时,我都想更改令牌。但只要用户登录,令牌就不会改变。

【问题讨论】:

我是古玩,为什么要在每次页面刷新时更改令牌? 登录用户可能正在计划攻击。软件的安全性对我们很重要。 【参考方案1】:

Spring 默认使用 per-session csrf,你可以查看here 了解它的实现。 根据更改令牌,我建议您实施自己的 .并在需要时调用其方法重置令牌。

【讨论】:

以上是关于在 spring-security 中更改 csrf 令牌的主要内容,如果未能解决你的问题,请参考以下文章

Grails Spring-Security - 如何比较密码-

Java iOS MDM:APNs 证书 UID 更改

为同一应用程序的多个变体重用多个证书的 CSR

在使用 Oauth、SAML 和 spring-security 的多租户的情况下从 spring-security.xml 中获取错误

在 grails 中使用 spring-security 插件时出错

在tomcat中显示Spring-security的SQL错误