那些遇到过的问题

在Spring Controller中获取_csrf

0bj*_*3ct 4 java spring spring-mvc csrf spring-security

如何在Spring Controller中获取_csrf对象(?!)?我已经配置了Spring Security,可以在jsp文件中获得$ {_ csrf}请求属性。我试过了:

CsrfToken _csrf = (CsrfToken) session.getAttribute("CsrfToken");
CsrfToken _csrf = (CsrfToken) session.getAttribute("_csrf");
Run Code Online (Sandbox Code Playgroud)

结果为空;

提前致谢!

Rup*_*ott 7

要访问 Spring 控制器中的 CSRF 令牌,您可以简单地执行以下操作:

@Controller
public class FooController {
    @RequestMapping("/foo")
    public void foo(CsrfToken token) {
        // Do whatever with token
    }
}
Run Code Online (Sandbox Code Playgroud)

Spring将根据参数的类型自动检测您是否需要令牌,并将其注入到您的方法中。

至少从 Spring Security 5.0 开始,如果您使用 Spring Boot 或@EnableWebSecurity在配置中包含注释,则此方法有效。

文档

0bj*_*3ct 6

在调试中,我看到了带有键“ org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN”的会话属性。我查看了HttpSessionCsrfTokenRepository类。它具有从传入的HttpServletRequest对象加​​载令牌的方法。

最后,这对我有用:

CsrfToken token = new HttpSessionCsrfTokenRepository().loadToken(request);
Run Code Online (Sandbox Code Playgroud)

如果有人向我解释了它的工作原理,我将不胜感激。

归档时间:

查看次数:

4365 次

最近记录:

7 年 前
相关归档
有什么方法可以在线声明一个数组? 583
@Scope("prototype")bean范围没有创建新bean 120
什么是最有用和最完整的Java备忘单? 86
分布式锁服务 55
增加一个超过其最大值的整数会发生什么? 49
Java 8 Stream API用于查找与属性值匹配的唯一对象 44
注册成功后自动登录 30
当servlet处理请求时,是整个请求标头/正文/等.装了吗? 11
带占位符的本地化参数的JSTL消息包 8
Spring mvc throw org.springframework.web.HttpMediaTypeNotAcceptableException:找不到可接受的表示 8
难疑归档
如何在单个表达式中合并两个词典? 4349
如何删除子模块? 3366
使用__init __()方法理解Python super() 2366
使用Git下载特定标签 1892
ListView中的图像延迟加载 1881
比较Java枚举成员:==或equals()? 1645
如何在Git中完全替换另一个分支中的master分支? 1549
重写System.Object.GetHashCode的最佳算法是什么? 1389
如何从其他线程更新GUI? 1331
获取JavaScript数组中的所有唯一值(删除重复项) 1273