一、基于配置的权限控制

也可以在配置类中使用使用配置的方式对资源进行权限控制。

配置类添加权限,把接口的上面的权限注释掉

Spring Security——12,CSRF&&其他权限控制-LMLPHP
测试一下,也是没有问题的

Spring Security——12,CSRF&&其他权限控制-LMLPHP

二、CSRF

CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。

SpringSecurity去防止CSRF攻击的方式就是通过csrf_token。后端会生成一个csrf_token,前端发起请求的时候需要携带这个csrf_token,后端会有过滤器进行校验,如果没有携带或者是伪造的就不允许访问。

我们可以发现CSRF攻击依靠的是cookie中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。

前后端分离项目,不存在CSRF,因为有token

一键三连有没有捏~~

04-09 10:22