Das angegebene CSRF-Token konnte nicht überprüft werden, da Ihre Sitzung im Frühjahrssicherheitsdienst nicht gefunden wurde

Bin ich mit spring security zusammen mit java-config

@Override
protected void configure(HttpSecurity http) throws Exception { 
    http
    .authorizeRequests()
    .antMatchers("/api/*").hasRole("ADMIN")
    .and()
    .addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
    .exceptionHandling()
    .authenticationEntryPoint(restAuthenticationEntryPoint)
    .and()
    .formLogin()
    .successHandler(authenticationSuccessHandler)
    .failureHandler(new SimpleUrlAuthenticationFailureHandler());

Bin ich mit dem Postboten für den Test meinen REST-services. Ich bekomme 'csrf-token erfolgreich und ich bin in der Lage, loggen Sie sich mit X-CSRF-TOKEN im request-header. Aber nach dem login, wenn ich Treffer-post-request(ich bin auch gleichen token im Anfrage-header, den ich für den login-post-request) bekomme ich folgende Fehlermeldung:

HTTP-Status 403 - Konnte nicht überprüfen, die zur Verfügung gestellt CSRF-token, weil die Sitzung wurde nicht gefunden.

Kann jeder ein Führer mir, was ich falsch mache.

InformationsquelleAutor der Frage Haseeb Wali | 2016-06-24

  1. 63

    Nach Frühling.io:

    Wann sollten Sie die Verwendung CSRF-Schutz? Unsere Empfehlung ist die Verwendung von CSRF
    Schutz für jede Anforderung, die verarbeitet werden könnten, die von einem browser durch
    normale Benutzer. Wenn Sie nur einen service, der durch
    nicht-browser-clients, werden Sie wahrscheinlich wollen, um zu deaktivieren CSRF-Schutz.

    So zu deaktivieren:

    @Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

    Hinweis: CSRF-Schutz standardmäßig aktiviert ist mit Java Konfiguration

    InformationsquelleAutor der Antwort Derick Daniel

Schreibe einen Kommentar