我有一个现有的Spring WebMVC应用程序,并启用了spring security。现在我想启用Spring-Security CSRF检查。Spring Security CSRF培训模式
但我想让它在训练模式下运行。所以CSRF-Filter应该只记录任何丢失的CSRF-Token,以便它可以不时地实施。
在CSRF处理的Spring-Security中是否有这样的培训模式?
我试图实现自定义org.springframework.security.web.access.AccessDeniedHandler
,并将其设置在WebSecurityConfigurerAdapter
:
http.exceptionHandling().accessDeniedHandler(new MyCustomAccessDeniedHandler());
但遗憾的是该请求不suceed因为过滤器链停止。
我想我必须实现一个自定义CsrfFilter
,但我该如何设置它?
有没有一种简单的方法来实施培训模式? 任何建议或指针在正确的方向?
非常感谢!这个解决方案适用于我。我特别喜欢在过滤器链中捕捉异常的“技巧”。也感谢你指点我的BeanPostProcessor。我没有意识到这一点。在我看来,仅仅为了'CsrfFilter'而改变'AccessDeniedHandler'的做法比在我尝试做的时候更全面。 – Tarator
感谢您的反馈!很高兴我能帮上忙! – fateddy