我在Spring启动应用程序中使用spring security。我有一个前端单页应用程序,通过休息登录。我没有登录的问题,但是一旦我登录,我的会话令牌就会改变,但是CSRF令牌没有。
有没有办法强制spring security设置csrf令牌,因为与未经身份验证的会话令牌关联的旧令牌将无法使用新的经过身份验证的会话令牌?
我将CSRF令牌存储在cookie中,并在每个状态更改请求的标头中从客户端发回。我无法在没有干预请求(非帖子)的情况下登录和注销来检索csrf令牌。这看起来像个缸。
答案 0 :(得分:2)
一个简单的解决方案是在登录请求成功后重定向。这会将请求通过另一个循环通过安全过滤器链,从而确保将新的CSRF添加到新的会话令牌中。晚安睡得好奇。