SpringBoot集成Sa-Token实现CSRF防护实战指南
1. 为什么需要CSRF防护在Web应用开发中CSRFCross-Site Request Forgery攻击是最常见的安全威胁之一。攻击者利用用户已登录的身份在用户不知情的情况下执行非预期的操作。比如当用户登录银行网站后访问恶意网站时可能触发转账请求。传统的防护方案是在表单中添加随机Token但这种方式存在以下痛点需要手动管理Token的生成和校验前后端分离架构下Token传递复杂容易遗漏某些接口的保护Token存储和过期策略实现麻烦2. Sa-Token的CSRF防护机制Sa-Token通过注解驱动的方式简化了CSRF防护的实现。其核心原理是客户端首次访问时服务端生成一个随机Token默认存储在Cookie中后续请求需要在Header或参数中携带该Token服务端自动校验Token的有效性关键特性包括支持Cookie和Header两种传递方式自动处理Token的生成、刷新和过期细粒度的注解控制全局/局部启用默认防御方案符合OWASP推荐标准3. SpringBoot集成实战3.1 基础环境搭建首先创建SpringBoot项目并添加依赖dependency groupIdcn.dev33/groupId artifactIdsa-token-spring-boot-starter/artifactId version1.34.0/version /dependency在application.yml中配置CSRF参数sa-token: cookie: domain: yourdomain.com secure: true http-only: true csrf: token-name: x-csrf-token timeout: 18003.2 基础防护配置启用全局CSRF防护Configuration public class SaTokenConfig implements WebMvcConfigurer { Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaInterceptor()) .addPathPatterns(/**) .excludePathPatterns(/login); } }3.3 前后端协作方案前端需要从Cookie获取Token并放入请求头// 从Cookie获取Token function getCsrfToken() { return document.cookie.match(/x-csrf-token([^;])/)?.[1]; } // 为axios添加拦截器 axios.interceptors.request.use(config { config.headers[x-csrf-token] getCsrfToken(); return config; });4. 进阶配置与优化4.1 双重校验策略对于敏感操作如支付、修改密码建议启用双重校验PostMapping(/transfer) SaCheckCsrf(doubleChecktrue) public Result transfer(RequestBody TransferVO vo) { // 业务逻辑 }4.2 自定义Token生成器实现更复杂的Token生成逻辑Bean public SaTokenCsrfStrategy csrfStrategy() { return new SaTokenCsrfStrategy() { Override public String generateToken() { return IdUtil.simpleUUID() - System.currentTimeMillis(); } }; }4.3 集群环境适配在分布式场景下需要自定义Token存储Bean public SaTokenDao saTokenDao() { return new SaTokenDaoRedis(redis://127.0.0.1:6379); }5. 常见问题排查5.1 Token校验失败场景可能原因及解决方案跨域问题确保CORS配置包含CredentialsBean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**) .allowedOrigins(https://yourdomain.com) .allowCredentials(true); } }; }时间差问题适当调整Token过期时间sa-token: csrf: timeout: 3600协议不一致HTTPS环境下需要设置Secure Cookie5.2 性能优化建议对静态资源禁用CSRF校验.excludePathPatterns(/static/**, /favicon.ico)使用内存缓存替代Redis小型应用SaManager.setSaTokenDao(new SaTokenDaoDefault());调整Token刷新策略SaTokenConfig config new SaTokenConfig(); config.setCsrfTokenStyle(CsrfTokenStyle.HEADER); SaManager.setConfig(config);6. 安全增强方案6.1 同源策略强化在Nginx层添加安全头add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection 1; modeblock;6.2 敏感操作二次验证结合Sa-Token的会话管理PostMapping(/changePassword) SaCheckLogin SaCheckCsrf SaCheckSafe(passwordtrue) public Result changePassword() { // 需要输入原密码验证 }6.3 请求频率限制防止Token暴力破解Bean public SaInterceptor saInterceptor() { return new SaInterceptor() .addRateLimiter( new SaRateLimiter(5).errorMessage(操作过于频繁)) .addCsrf(); }7. 测试验证方案7.1 单元测试用例Test public void testCsrfProtection() { // 模拟未携带Token的请求 mockMvc.perform(post(/api/test)) .andExpect(status().isForbidden()); // 获取有效Token String token SaTokenCsrfUtil.getToken(); // 带Token的正常请求 mockMvc.perform(post(/api/test) .header(x-csrf-token, token)) .andExpect(status().isOk()); }7.2 渗透测试建议使用Burp Suite测试尝试重放请求Repeater修改/删除Token观察响应测试不同用户的Token是否可复用检查Token的随机性和时效性8. 生产环境部署建议8.1 灰度发布策略通过注解控制新旧版本兼容SaCheckCsrf(enable ${app.version:new}) public class ApiController { // 新版本启用旧版本禁用 }8.2 监控与告警集成Prometheus监控Bean public SaTokenMetrics saTokenMetrics() { return new SaTokenMetrics() .addCsrfMetric() .registerToPrometheus(); }8.3 应急处理方案紧急禁用CSRF不推荐长期使用Profile(emergency) Configuration public class EmergencyConfig { Bean public SaInterceptor saInterceptor() { return new SaInterceptor(); } }9. 架构设计思考9.1 与传统方案的对比方案实现复杂度安全性维护成本手动Token管理高中高Spring Security CSRF中高中Sa-Token方案低高低9.2 微服务场景适配API网关统一处理方案// 网关过滤器 public class CsrfFilter implements GlobalFilter { Override public MonoVoid filter(ServerWebExchange exchange, GatewayFilterChain chain) { if (!SaTokenCsrfUtil.checkRequest(exchange.getRequest())) { exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN); return exchange.getResponse().setComplete(); } return chain.filter(exchange); } }10. 最佳实践总结生产环境务必启用Secure和HttpOnly Cookie对于SPA应用推荐使用Header传递方式敏感操作建议结合二次验证定期轮换Token加密密钥监控异常的CSRF拒绝事件关键配置示例Bean public SaTokenConfig saTokenConfig() { SaTokenConfig config new SaTokenConfig(); config.setTokenStyle(TokenStyle.RANDOM_128); config.setCsrfTokenStyle(CsrfTokenStyle.HEADER); config.setJwtSecretKey(your-256-bit-secret); return config; }实际项目中我们发现当CSRF防护与文件上传功能结合时需要特殊处理multipart请求。解决方案是在表单中添加隐藏字段form enctypemultipart/form-data input typehidden namex-csrf-token th:value${saTokenCsrf.getToken()}/ !-- 其他表单字段 -- /form对于移动端API可以考虑采用App签名CSRF Token的混合方案。我们在金融项目中实测这种组合能有效防御99%的自动化攻击同时保持较好的用户体验。