在Java中实现XSRF保护的正确方法_Java_Angularjs_Security_Session_Jakarta Ee

在Java中实现XSRF保护的正确方法

java angularjs security session jakarta-ee

在Java中实现XSRF保护的正确方法,java,angularjs,security,session,jakarta-ee,Java,Angularjs,Security,Session,Jakarta Ee,我正在j2ee应用程序中实现XSRF保护。当用户登录时，我生成一个令牌并添加一个会话cookie： response.addCookie(new Cookie("XSRF-TOKEN",TOKEN)); Utilities util = new Utilities(TOKEN); request.getSession().setAttribute("utils", util); 除了添加cookie之外，我还将令牌保存在实用程序对象中，并将util对象设置为会话属性。然后，对于每个请求我检查

我正在j2ee应用程序中实现XSRF保护。当用户登录时，我生成一个令牌并添加一个会话cookie：

response.addCookie(new Cookie("XSRF-TOKEN",TOKEN));
Utilities util = new Utilities(TOKEN);
request.getSession().setAttribute("utils", util);

除了添加

cookie

之外，我还将令牌保存在实用程序对象中，并将

util

对象设置为会话属性。然后，对于每个

请求

我检查

request.getHeader（“X-XSRF-TOKEN”）

是否与我保存在

util

对象中的令牌匹配

这是实施XSRF保护的正确方法吗？我不是用户，我是否应该在会话中保存令牌。如果这不是最好的方法，还有什么建议

谢谢

在SpringSecurity中，您应该在

configure（httpsecurityhttp）

方法中添加

http.csrf（）。这是非常有用的文档-。好的，但我没有使用Spring安全性。我只是想知道，通过将令牌保存在设置为会话属性的对象中，我是否做错了？