在spring-security中更改csrf标记

时间:2014-10-11 08:59:17

标签: spring spring-security csrf

我在spring security中使用csrf,就像这样

<http auto-config="false" >
    ...
    <csrf />
    ...
</http>

并像这样放入每个jsp页面

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />

问题在于,每次刷新页面时,我都想更改令牌。但只要用户登录,令牌就不会改变。

1 个答案:

答案 0 :(得分:0)

Spring默认使用每会话csrf,您可以检查here的实现。 每个更改令牌,我建议您实现自己的。并在需要时调用其方法重置令牌。