会话超时后的Spring Security Csrf令牌

时间:2015-05-05 17:00:49

标签: java spring session spring-security

有一个使用POST方法和csrf_token = '1'的表单(为了简洁起见)。

会话超时后,我提交表单并重定向到登录页面。登录后,我可以在CsrfFilter(在调试器中)中看到旧令牌(在请求中)和新生成的令牌('2')。由于这些不匹配,我得到InvalidCsrfTokenException然后403错误。

在这种情况下,Spring应该如何表现?

我查了这些帖子:

但它们看起来都像是解决方法。有没有更好的选择?为什么Spring团队不会将其中一个作为默认值?

0 个答案:

没有答案