深入解析 Spring Security 配置中的 CSRF 启用与 requestMatchers 报错问题
最近在配置 Spring Security 的过程中,有小伙伴遇到了关于 CSRF 启用与路径匹配器 requestMatchers 的相关问题。本文将从问题的根源出发,分析 Spring Security 不同版本中的变化,同时提供详细的解决方案。希望这篇博客能帮助大家快速解决类似问题,并深入理解 Spring Security 的相关机制。

问题 1:CSRF 的启用方法报错
背景: 在 Spring Security 的配置中,很多开发者会禁用 CSRF(跨站请求伪造)保护以方便调试或快速开发:
http.csrf(csrf -> csrf.disable());
后来开发者发现需要重新启用 CSRF 时,尝试使用如下代码:
http.csrf(csrf -> csrf.enable());
报错信息:
无法解析 'CsrfConfigurer' 中的方法 'enable'
原因分析: Spring Security 的 CsrfConfigurer 类中并没有提供 enable() 方法。事实上,Spring Security 默认是启用 CSRF 的,因此并不需要显式地调用 enable() 方法。
解决方案:
如果之前禁用了 CSRF,现在需要重新启用,只需要移除 .csrf(csrf -> csrf.disable()) 配置即可。默认情况下,CSRF 是开启的。
具体配置代码如下:
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf() // 保持默认的 CSRF 启用状态
.and()
.authorizeHttpRequests(auth -> auth

1万+

被折叠的 条评论
为什么被折叠?



