Spring Security で GET時にもTokenチェックしたい

SpringSecurity＋RESTについて質問です。

課題：GETでREST APIを叩かれたときに、セキュリティ上、他ユーザーの情報を見られないようにしたい

１）Spring Securityを使うと簡単にCSRFトークンチェックができますが、POST時だけでなくGET時にもトークンチェックする方法はありますでしょうか？色々調べましたが方法が見つかりませんでした。

２）Spring Securityで対応できない場合、REST（GET,POST,PUT,DELETE）時にトークンチェックするロジックを自分で作るしかないでしょうか？

お知恵をお貸しいただければ幸いです。

行動規範の内容に同意します

回答1件

ベストアンサー

org.springframework.security.config.annotation.web.configurers.CsrfConfigurerの
requireCsrfProtectionMatcherでできるみたいですね…

getされるすべてのrequestで有効になるみたいですので、少し工夫が必要だと思いますが、
参考にしてください。

java
1.csrf()
2	.requireCsrfProtectionMatcher(new RequestMatcher() {
3        private Pattern ENABLE_CSRF_TOKEN_PATTERN = Pattern.compile("(?i)^(GET|HEAD|TRACE|OPTIONS)$");
4        private Pattern DISABLE_CSRF_URI_PATTERN = Pattern.compile("^(login)$");
5
6        @Override
7        public boolean matches(HttpServletRequest request) {
8            if (request != null) {
9                if (DISABLE_CSRF_URI_PATTERN.matcher(request.getRequestURI()).matches()) {
10                    return false;
11                } else if (ENABLE_CSRF_TOKEN_PATTERN.matcher(request.getMethod()).matches()) {
12                    return true;
13                } 
14            }
15            return true;
16        }
17    })
18	.and()
19.exceptionHandling()