优化Spring Security中CSRF Cookie管理，提升性能

## Spring Security 中 CSRF Cookie 管理指南

在当今的网络世界中，跨站点请求伪造 (CSRF) 攻击是一种严重的安全威胁。Spring Security 提供了 CSRF 保护，但它可能会导致性能问题，特别是当你希望在同一浏览器会话期间保持 CSRF 令牌不变时。本文将指导你如何防止 Spring Security 在每次请求时创建新的 CSRF Cookie。

## 问题：CSRF Cookie 创建性能开销

Spring Security 默认使用 RandomCookieCsrfTokenRepository 来生成 CSRF Cookie，每次请求都会创建一个新的 Cookie。这会导致性能开销，尤其是在高流量环境中。

## 解决方法：使用 CookieCsrfTokenRepository

为了解决这个问题，我们可以使用 CookieCsrfTokenRepository 来管理 CSRF Cookie。它将 CSRF 令牌存储在 Cookie 中，并在同一浏览器会话期间保持不变。

## 步骤：

1. 配置 CookieCsrfTokenRepository：

   CookieCsrfTokenRepository csrfTokenRepo = new CookieCsrfTokenRepository();
   

2. 自定义 Cookie：
   你还可以自定义 Cookie 的行为，例如将 SameSite 属性设置为 "Strict" 并将其标记为 "secure"：

   csrfTokenRepo.setCookieCustomizer(cookieBuilder -> cookieBuilder
       .sameSite(Cookie.SameSite.STRICT.attributeValue())
       .secure(true)
   );
   

3. 配置忽略请求的 CSRF 验证：
   指定要忽略 CSRF 验证的请求，例如登录和注册请求：

   csrf.ignoringRequestMatchers("/user/register", "/user/login");
   

4. 配置 CSRF Token 请求处理程序：
   指定一个请求处理程序，它将 CSRF 令牌添加到请求中：

   CsrfTokenRequestAttributeHandler requestHandler = new CsrfTokenRequestAttributeHandler();
   requestHandler.setCsrfRequestAttributeName("_csrf");
   csrf.csrfTokenRequestHandler(requestHandler);
   

## 完整代码示例：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    CsrfTokenRequestAttributeHandler requestHandler = new CsrfTokenRequestAttributeHandler();
    requestHandler.setCsrfRequestAttributeName("_csrf");
    CookieCsrfTokenRepository csrfTokenRepo = new CookieCsrfTokenRepository();
    csrfTokenRepo.setCookieCustomizer(cookieBuilder -> cookieBuilder
            .sameSite(Cookie.SameSite.STRICT.attributeValue())
            .secure(true)
    );

    return http.csrf((csrf) -> csrf
                    .csrfTokenRepository(csrfTokenRepo)
                    .csrfTokenRequestHandler(requestHandler)
                    .ignoringRequestMatchers("/user/register", "/user/login")
                )
                .cors(Customizer.withDefaults())
                .authorizeHttpRequests(request -> request
                    .requestMatchers("/user/register", "/user/login", "/home").permitAll()
                    .anyRequest().authenticated()
                )
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)
                .addFilterAfter(csrfCookieFilter, UsernamePasswordAuthenticationFilter.class)
                .build();
}

通过遵循这些步骤，你可以防止 Spring Security 在每次请求时创建新的 CSRF Cookie，从而提高你的应用程序的性能。

## 常见问题解答：

1. 为什么我应该使用 CookieCsrfTokenRepository？
   CookieCsrfTokenRepository 在同一浏览器会话期间保持 CSRF 令牌不变，从而提高了性能。

2. 如何自定义 CSRF Cookie？
   你可以使用 setCookieCustomizer() 方法来配置 SameSite 属性、secure 标志和其他属性。

3. 我可以忽略哪些请求的 CSRF 验证？
   你可以使用 ignoringRequestMatchers() 方法来指定要忽略 CSRF 验证的请求，例如登录和注册请求。

4. 如何将 CSRF 令牌添加到我的请求中？
   使用 CsrfTokenRequestAttributeHandler 将 CSRF 令牌作为请求属性添加到请求中。

5. 我的应用程序仍然在创建新的 CSRF Cookie，我该怎么办？
   确保你已正确配置了 CookieCsrfTokenRepository 并忽略了正确的请求。你还可以在浏览器中检查 Cookie 以确保它们按预期工作。