Spring Boot 项目使用Spring Security防护CSRF攻击实战

Spring Boot与Spring Security

Spring Boot项目结合Spring Security ，可以实现用户认证和用户授权。
Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP， 用户授权上可以根据角色和用户来进行授权。
综合来说， 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外， Spring Security 还提供了对CSRF、XSS等安全弱点的防护。

项目状况

这里的Spring Boot 项目是一个较为复合型的项目，提供Web端使用和对外接口。

• Web端直接使用Java的底层LDAP认证，使用自定义的登录页面， 登录成功后在Session里维护用户信息
• 用户授权有自己的权限控制表，通过权限表控制。 自定义注解@Permission， 在Rest请求方法上添加注解。通过配置权限检查的切面，检查是否有权限执行方法。

@Aspect
@Component
public class PermissionAspect {
1
2
3

到这里看，该项目似乎没有必要引入Spring Security，但是该项目以REST的方式提供了供外部系统访问的接口， 使用一些系统账号访问接口，因为这个需求， 导入了Spring Security实现外部接口访问的BASIC认证和授权。

使用 Spring Security 的方式

直接看代码：

	@
1