我有一个REST服务，它使用Java，Spring-boot和带有基本访问身份验证的Spring
Security构建。没有视图，没有JSP等，没有“登录”，只有可以从单独托管的React应用调用的无状态服务。

我已经阅读了许多有关CSRF保护的文档，但是无法决定我应该使用spring-security
CSRF配置还是仅禁用它？如果禁用csrf保护，则可以使用我的基本身份验证使用curl调用服务，如下所示：

curl -H "authorization:Basic c35sdfsdfjpzYzB0dDFzaHA=" -H "content-type:application/json" -d '{"username":"user","password":"password","roles":"USER"}' localhost:8081/api/v1/user

如果我启用了csrf保护并提供了x-csrf- token标头，则SpringCsrfFilter会尝试根据（我认为）会话cookie中的值进行交叉检查HttpServletRequest。但是，由于它是无状态的REST服务，所以我没有会话，也没有“登录”。

我有一个配置类，看起来像这样：

@EnableWebSecurity
@Configuration
public class ServiceSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().fullyAuthenticated()
                .and().httpBasic();
        if (!serviceProperties.isCsrfEnabled()) {
            http.csrf().disable();
        }
    }

我考虑得越多，似乎越需要禁用CSRF保护。还有另一种配置spring安全性的方法，它可以工作吗？

谢谢