Nano Hash - криптовалюты, майнинг, программирование

Можем ли мы указать время истечения срока действия токена CSRF?

Я использую весеннюю безопасность и конфигурации Java в своем проекте.

В конфигурациях Java для весенней безопасности по умолчанию включен csrf.

Можно ли установить тайм-аут, после которого истечет срок действия токена csrf? Это было требованием указать время ожидания для приложения на основе токена.

Просмотрев некоторые блоги и статьи, я заметил, что поведение токена csrf непредсказуемо, что делает его более безопасным.

Вот пример кода для настройки безопасности Spring.

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().maximumSessions(1).expiredUrl("/login-expired.html").and().and()
                .authorizeRequests().antMatchers("/superadmin/**").access("hasRole('ROLE_SUPER_ADMIN')").and()
                .formLogin().loginPage("/signin.html").permitAll().failureUrl("/login-failed.html").permitAll()
                .and().exceptionHandling().accessDeniedPage("/403").and().logout().permitAll().and()
                .exceptionHandling().and().logout().logoutSuccessUrl("/logout.html").permitAll().and()
    }

Если есть какой-то способ, с помощью которого я могу настроить тайм-аут, это сэкономит мне много работы.

java spring spring-security spring-rest
28.09.2016

Ответы:


1

См. Справочник по безопасности Spring. :

Одна проблема заключается в том, что ожидаемый токен CSRF хранится в HttpSession, поэтому, как только HttpSession истечет, настроенный вами AccessDeniedHandler получит InvalidCsrfTokenException.

Это означает, что вы можете изменить время ожидания сеанса в своем web.xml, чтобы истечь срок действия токена CSRF, см., например, WebLogic:

<session-timeout> | необязательный | Количество минут, по истечении которых сеансы в этом веб-приложении истекают.

Другой способ — написать собственный CsrfTokenRepository:

API, позволяющий изменить метод, в котором ожидаемый CsrfToken связан с HttpServletRequest. Например, он может храниться в HttpSession.

28.09.2016
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..