spring security login csrf 失效问题

如果要使用csrf,login 页面不能定义为

 <http security="none" pattern="/user/login.*" />

因为所有过滤器都不起作用了，包括 csrf 过滤器

要定义为：access="permitAll"

    <http>
    <intercept-url pattern="/user/**" access="permitAll" />
    <form-login login-page="/user/login.jsp" 
        login-processing-url="/spring/login.do" 
        username-parameter="username" password-parameter="password" />
        <intercept-url pattern="/**" access="hasRole('USER')" />
        <logout />
        <csrf/>
    </http>

posted @ 2017-04-12 22:50 野人2046 阅读(1347) 评论(0) 收藏举报

刷新页面返回顶部

野人2046

spring security login csrf 失效问题

公告