CSRF-Token mit Apache Shiro

Question

Ich habe eine bestehende Web-Anwendung basierend auf Apache Shiro für die Authentifizierung/Autorisierung Teile. Ich möchte einen Mechanismus zum Generieren/Prüfen eines CSRF-Tokens implementieren, aber es gibt keine Unterstützung dafür in Shiro. Ich dachte daran, Spring Security für die Token-Generierung zu verwenden und die Shiro-Session irgendwie an Spring zu übergeben. Gibt es dafür einen cleveren Weg? oder eine andere Methode, CSRF-Schutz für eine Shiro-basierte App zu implementieren?

Answer 1

Es gibt nichts in Shiro out of the box. Viele Frameworks, in die Shiro integriert ist, bieten dies. (Tapisserie, Frühling, usw.). Sie können also bereits diese Funktionalität zur Verfügung haben (abhängig von Ihrem Stack)

Das sagte, ich glaube, das sollte Teil von Shiro selbst sein. Ich habe dieses Feature vor ein paar Monaten gehackt, aber ich war in letzter Zeit ziemlich beschäftigt ... Ich habe diesen Code hier gedrängt: https://github.com/bdemers/shiro/pull/1, wenn du einen Blick darauf werfen willst.