那些遇到过的问题

带有 JWT 身份验证和 csrf 令牌的 Spring 启动无状态应用程序

use*_*362 5 spring csrf jwt spring-boot

我有带有 JWT 身份验证的 Spring 启动应用程序,效果很好!但是我已经使用 STATELESS 策略禁用了 csrf:

        .csrf()
            .disable()
        .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
Run Code Online (Sandbox Code Playgroud)

此 Rest API 用于 SPA React 应用程序。我读到当我使用 JWT 令牌时,我不需要设置 csrf 令牌。JWT 是否像 csrf 保护(如何)一样工作?我认为这不是 csrf 保护。

小智 8

CSRF攻击是利用浏览器在向所请求服务器的请求中总是包含cookie(包括会话ID)的事实,因此攻击者在执行恶意操作时假装自己是真实用户。

如果您的端点是无状态的(这意味着您没有使用 cookie 进行身份验证),那么您不需要 CSRF 保护。

归档时间:

查看次数:

1048 次

最近记录:

5 年,4 月 前
相关归档
spring-boot-starter-web和spring-boot-starter-web-services以及spring-boot-starter-jersey之间的区别 17
PageImpl 反序列化期间出错:无法构造“org.springframework.data.domain.PageImpl”的实例 13
注释bean @DependsOn是否意味着依赖bean将被实例化或初始化? 8
无法加载JDBC驱动程序类[com.mysql.jdbc.Driver] 8
如何使用bulkUpdate批量删除 7
无法启动Spring启动应用程序 7
spring-boot在测试中不使用application.properties 6
SpringBoot中的配置顺序 6
带有 axon-spring-boot-starter 的 NoHandlerForCommandException 5
使用SpringToolSuite打开新的Spring Boot项目时出错 4
难疑归档
如何有效地配对袜子? 3850
我是否施放了malloc的结果? 2318
我应该使用Vagrant还是Docker来创建一个孤立的环境? 2049
JavaScript中的'new'关键字是什么? 1684
从客户端检测到潜在危险的Request.Form值 1437
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何通过curl调用使用HTTP请求发送标头? 1328
修复一个Git分离的头? 1318
如何获得最近提交的Git分支列表? 1197
jQuery从下拉列表中获取选定的选项 1067