Spring Security的CsrfFilter中csrf-token会不会出现并发问题

问题遇到的现象和发生背景
如题：Spring Security的CsrfFilter中csrf-token

我的解答思路
为了防止csrf攻击，spring security加入了csrffiler过滤器，
1.每次请求的时候都会带有csrf-token并跟tokenRepository中的token比对，比对通过了则替换成新的csrf-token
2.下次请求会带有上次新的csrf-token，像步骤一时一样，比对然后替换成新的

问题出现
当csrf-token=1 时，重复提交了两次，出现并发问题，
那第一次请求完成，比对成功则会替换token，然后更新token，
则第二次校验因为第一次的请求先到达，所以将csrf-token替换了，所以比对的时候一定会比对失败了，所以没有返回csrf-token
那么csrf-token就丢失了

问题是：
是不是会出现这样的并发问题
在git中有人提出
https://github.com/spring-projects/spring-security/issues/5219#ref-commit-352aca3
是不是有这种并发导致token丢失的问题？

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
a1767028198 2021-12-29 14:19
关注
看起来有点像，

假设现在有两个线程都走到这里，如果都没能从tokenRepository获取token，则都会生成token，这样就会有个被覆盖，
如果有必要的话，可以自己实现个tokenRepository，搭配redis，保证一个sessionid只生成一个token

解决 1
无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

spring security报栈溢出错误，如何解决？(语言-java) java spring spring boot
2022-02-17 15:04

回答 3 已采纳你的问题出现在这一步，这些都是多余的，光该这个的话，把这些删了就行。 @Override protected void configure(AuthenticationManagerB
关于Spring boot + SpringSecurity +jwt token失效的问题 maven spring
2019-12-11 17:33

回答 2 已采纳 jwt的非对称加密是通过私钥签名，公钥验签的，因为服务端没有存储，jwt一旦签发，只要没过期就可以一直使用的，除非你把jwt也存redis里面再进行一次拦截判断
SpringBoot+security如何将token设置到全局headers中 html java
2022-08-09 12:22

回答 3 已采纳将main.js文件引用到每个html页面就好了。
利用spring-security解决CSRF问题
2017-04-22 17:22

I,Frankenstein的博客从配置到原理，一步步讲解如何利用Spring的security框架来处理scrf问题。
spring-security遇到的问题 java spring
2022-10-07 21:25

回答 3 已采纳问题已经解决，问题出在用 BCrypt 密码加密测试那一步，由于马虎直接new了加密处理器，没有使用bean里面注入的，导致数据库密码加密校验时对不上，security里没有过验证，所以没有报错，只给
关于java spring security CSRF的问题 spring
2015-02-07 10:50

回答 1 已采纳 ok，自己解决了。 Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断： priv
spring-security动态权限问题 java spring spring boot
2022-10-14 15:42

回答 2 已采纳代码搞个压缩包丢网盘，给你看看
SpringSecurity - 学习笔记 - 会话管理之并发控制：同一账号只允许在一个设备登录
2022-01-18 17:49

笑虾的博客 SpringSecurity - 学习笔记 - 会话管理之并发控制：同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息场景接手一个老项目：先上pom.xml ...略 <dependency> ...
springsecurity中没有设置关闭csrf 防护，表单中隐藏域也没写，为什么依旧可以访问 csrf spring boot
2021-11-20 13:08

回答 1 已采纳已解决！！原因是：我的login.html提交表单时用了thymeleaf模板中的 th:action ,thymeleaf会在表单提交时自动生成_csrf隐藏域，就不用再自己写隐藏域了
SpringSecurity + JWT + Vue 实现登录出现403 java vue.js 有问必答架构
2022-04-02 16:57

回答 6 已采纳跨域出错，使用Nginx开启反向代理然后进行跨域请求
SpringSecurity permitAll方式放行资源无效 java spring boot 后端
2022-05-06 20:14

回答 3 已采纳 configure(HttpSecurity http)中配置放行，那还是会走spring security拦截链的， configure(WebSecurity web)中去配置放行，那才是真的放行
Spring Security 的 CSRF 的相关资料
2022-10-01 10:31

HoneyMoose的博客 CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。跨站请求伪造（英语：Cross-site request forgery），也被称为或者，通常缩写为CSRF...
spring security permit无效 java spring spring boot 有问必答
2022-01-10 15:52

回答 3 已采纳这个代码是按照循序执行的，你换成这样看看呢 @Override protected void configure(HttpSecurity http) throws Exception { h
spring-security实现的token授权
2022-04-22 15:46

Dale Lucy的博客来说，一般会用jwt授权方式，就是token授权码的方式，每访问api接口时，在http头上带着你的token码，而大叔自己也写了一个简单的jwt授权模式，下面介绍一下。 WebSecurityConfig授权配置 @Configuration @EnableW
Spring Security的CORS与CSRF（三）
2022-03-31 22:48

Java技术债务的博客文章目录跨域JSONPCORSSpring Security启用CORSCSRFCSRF的攻击过程CSRF的防御手段使用Spring Security防御CSRF攻击跨域在之前的文章[Spring Boot或Spring MVC前后端分离的项目跨域问题的解决方案]已经介绍过跨域...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已结题（查看结题原因） 4月18日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 12月29日

悬赏问题

¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场部分对应不上
¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？

Spring Security的CsrfFilter中csrf-token会不会出现并发问题

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新