Spring Security 在登录响应中使用新的会话令牌设置 CSRF

Posted 2023-02-27

【中文标题】Spring Security 在登录响应中使用新的会话令牌设置 CSRF

【英文标题】：Spring Security set CSRF in login response with new session token

【发布时间】：2016-05-20 10:50:15

【问题描述】：

我在我的 Spring Boot 应用程序中使用了 Spring Security。我有一个通过休息登录的前端单页应用程序。我登录没有问题，但是一旦我登录，我的会话令牌就会改变，但 CSRF 令牌不会。

是否有任何方法可以强制 spring security 设置 csrf 令牌，因为与未经身份验证的会话令牌关联的旧令牌将无法与新的身份验证会话令牌一起使用？

我将 CSRF 令牌存储在 cookie 中，并在每个状态更改请求的标头中从客户端发回。如果没有干预请求（非发布）来检索 csrf 令牌，我将无法登录和注销。这似乎是一个瓦罐。

【参考方案1】：

所以一个简单的解决方案是在登录请求成功后重定向它。这使请求通过安全过滤器链的另一个循环，确保将新的 CSRF 添加到新的会话令牌中。睡个好觉会产生奇迹。