我正在根据doc
使用Spring安全性实施CSRF保护我遇到的一个问题是:当这个令牌被Spring安全性失效时? 令牌是否因每次请求提交而失效?
答案 0 :(得分:7)
默认情况下,CSRF令牌存储在HTTP会话中,并基于每个会话生成。有关详细信息,请参阅the official Spring Security documentation。因此,CSRF令牌的默认生命周期是会话持续时间。
与Spring Security中的其他所有内容一样,CSRF令牌的存储和检索可以根据个人需求进行定制。这样做的方法是为CsrfTokenRepository创建一个实现。自定义实现可以基于每个请求更改令牌,将令牌存储在关系数据库中,依此类推。