如何在邮递员中设置CSRF令牌
我正在使用Spring Boot 2和Spring 5来创建一个保存两个实体的应用程序:User和UserProfile。这是我的控制器类:
@RestController
@RequestMapping("userProfile")
public class UserProfileController {
@Autowired
private UserProfileService userProfileService;
@PostMapping(produces = "application/json")
@ResponseStatus(HttpStatus.CREATED)
public void createUserProfile(@RequestBody @Valid UserProfileDTO userProfileDTO, @AuthenticationPrincipal User user){
//code
}
@GetMapping
public ResponseEntity getUserProfile(@AuthenticationPrincipal User user){
//code
}
}
没什么,我得到了经过身份验证的用户,然后将其设置并保存,或者根据经过身份验证的用户获取数据。我的安全配置是:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
};
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
}
现在我想和邮递员一起测试。 GET工作正常,我在Postman中添加表单数据并进行身份验证,并且可以调试get方法。 POST始终被标识为403 Forbidden。我不想禁用CSRF或/和cors。如何测试我的应用程序,获取CSRF令牌并在Postman中进行设置?
1 个答案:
答案 0 :(得分:0)
您必须从登录响应(或最初发送的任何地方)获取 XSRF 值,将其存储在您的环境中,并将其添加到您的 POST 标头中。
我使用的是 Spring Security,所以 XSRF 值作为一个名为 SET-COOKIE 的 XSRF-TOKEN 标头返回,我将其保存为 csrftoken
然后在我的 POST 中包含一个名为 X-XSRF-TOKEN 的标题
您的标头值可能会以不同的名称命名,但这种通用方法应该可行。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?