升級到Spring Security後登錄序列中斷4

Question

我正在升級Java Spring Web應用程序的依賴關係，從Spring Security 3升級到4.登錄順序打破了。當用戶點擊登錄按鈕時，POST應該發送到/ j_spring_security_check。

但是，服務器只是返回一個302重定向，其位置設置爲「403」。然後瀏覽器嘗試訪問/ 403並收到403錯誤，因爲用戶未登錄並且無法訪問該URL。

我跟着Migration Guide，這裏是我的更新form-login：

<form-login login-page="/login" 
       authentication-failure-url="/login/failure" 
       default-target-url="/" 
       always-use-default-target="true" 
       username-parameter="j_username" 
       password-parameter="j_password" 
       login-processing-url="/j_spring_security_check"/> 

Answer 1

原來這是CSRF - 的CSRF行爲的Spring Security 4已經變了，現在是默認啓用。我必須添加<csrf disabled="true">才能使應用程序正常工作（在一切正常後，我將在稍後階段啓用CSRF）。

我只是想知道爲什麼我沒有收到任何與CSRF相關的消息，這將節省我幾個小時。