将http://localhost:8080
加入NoRedirect设置的规则列表,选中来源
,并将该规则置顶。
使用黑客账号attacker/xyz
进行登录认证,注意请求不带state
http://localhost:8080/oauth/authorize?client_id=clientapp&redirect_uri=http
://localhost:9000/resource&response_type=code&scope=read+write
获取授权码返回链接被NoRedirect截获,复制该链接
http://localhost:9000/resource?code=So3A96
使用正常用户账号bobo/xyz
进行登录认证
在浏览器地址栏粘贴上面复制的授权码返回链接,并请求,Spring Security OAuth2 client会进行state校验并报错:
Possible CSRF detected - state parameter was required but no state could be found