W Spring-Security z Java Config dlaczego httpBasic POST chce token csrf?
Używam Spring-Security 3.2.0.RC2 z konfiguracją Java. Ustawiłem prostą konfigurację HttpSecurity, która prosi o podstawową autoryzację na / v1 / **. Żądania GET działają, ale żądania POST kończą się niepowodzeniem z:
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
Moja konfiguracja zabezpieczeń wygląda następująco:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Resource
private MyUserDetailsService userDetailsService;
@Autowired
//public void configureGlobal(AuthenticationManagerBuilder auth)
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
StandardPasswordEncoder encoder = new StandardPasswordEncoder();
auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
}
@Configuration
@Order(1)
public static class RestSecurityConfig
extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/v1/**").authorizeRequests()
.antMatchers("/v1/**").authenticated()
.and().httpBasic();
}
}
}
Jakakolwiek pomoc na ten temat była bardzo doceniana.