要回答您的第一个问题,在您描述的上下文中,您不需要CSRF保护。CSRF保护的背景是确保不会诱骗用户执行某些不必要的操作。
例如,按照纯粹的理论,您可能已经登录到银行的网站(因此建立了会话),然后访问了一些黑幕网站。该站点可以具有向银行的API发出POST请求的表单。因为那里有一个会话,所以如果端点不受CSRF保护,则该请求可能会通过。
因此,CSRF主要充当针对基于浏览器+基于会话的攻击的防护。如果您公开了具有OAuth保护的纯REST API,那么我看不到CSRF的任何原因。
使用Spring Boot时,还可以使用
application.properties/
application.yaml配置文件禁用CSRF 。
security.enable-csrf=false
您可以查看“ 通用应用程序属性”文档页面,以获取更多现成的配置选项。
