Vue/SpringBoot: Mengapa JSESSIONID saya terus berubah

Question

Saya mempunyai aplikasi vue dengan hujung belakang Spring Boot 3.0.1 dan saya mahu menggunakan CSRF. Bahagian hadapan Vue dan bahagian belakang Spring Boot disediakan oleh sistem yang berbeza. Saya merancang untuk menggunakan proksi terbalik nginx untuk mengurangkan topik CORS, tetapi masalah ini berlaku sama ada nginx terlibat atau tidak.

Perkara pertama aplikasi vue saya lakukan ialah meminta token csrf, menyimpannya secara global supaya ia boleh digunakan semasa sesi pengguna.

Apabila pengguna log masuk, beberapa kedai pinia dimulakan. Tetapi malangnya, semasa permintaan ini, kuki JSESSIONID yang dihantar dengan setiap permintaan diabaikan oleh bahagian belakang dan JSESSIONID baharu dikeluarkan. JSESSIONID terus berubah semasa menggunakan aplikasi dan membuat permintaan GET selanjutnya

Ini menjadikan token CSRF yang disimpan "global" bagi JSESSIONID awal tidak sah sudah tentu...

"csrf" pengepala permintaan:

tajuk "Log Masuk":

Kemudian tiba-tiba permintaan ke-5 mendapat JSESSIONID baharu walaupun saya menghantar kuki JSESSIONID dalam permintaan (dihantar oleh pelayan - kenapa?

Soalan

Mengapa sesi saya terus berubah? Bukankah JSESSIONID saya sepatutnya sentiasa kekal sama?

Apakah tujuan menjalankan CSRF? Minta token baharu sebelum membuat sebarang permintaan (bukan GET?)? (Saya menggunakan "Bukti kelayakan: "asal yang sama"")

Answer 1

Saya mempunyai .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) dalam SecurityConfig saya, yang menyebabkan masalah... Setahu saya, mengalih keluarnya menyelesaikan penggunaan CSRF. p>