如何为spring boot生成的XSRF令牌cookie设置最大年龄

是否有一种方法可以设置此cookie的最大年龄，或使其在会话到期时过期？

不需要更改cookie的最大年龄，因为默认情况下，CookieCsrfTokenRepository会创建它，这样它就不会持久存储。它通常会在浏览器关闭时被删除：

cookie.setMaxAge(-1);

但是如果您真的想更改它，您必须编写自己的CsrfTokenRepository实现，因为尽管覆盖saveToken（…）会很好CookieCsrfTokenRepository的方法，您不能这样做，因为它是一个最终类。相反，除了saveToken（…）之外，您可以使用composition并让实现委托给每个方法调用的CookieCsrfTokenRepository对象 ，这是您编写自定义cookie逻辑的地方。然后将其添加到Web安全配置适配器中：

protected void configure(HttpSecurity http) throws Exception {
    http.
    ...
    .and().csrf()
    .csrfTokenRepository(new MyCustomCookieCsrfTokenRepository());
}

再一次，仔细考虑这是否必要。

为了更好的安全性，我应该在会话中存储XSRF令牌而不是cookie吗？

好吧，如果有人可以偷你的饼干，理论上他们也可以偷你的会话。如果您可以在服务器中维护cookie值的状态，那么继续。但如果没有，就继续吃饼干。Spring Security负责处理细节。

使用AngularJS作为前端，springboot作为备份，实现CSRF保护的最佳方法是什么？

一种方法是将CRSF令牌作为cookie发送，并让您的ANGularJS应用程序在“X-XSRF-TOKEN”标头中或作为名为“_csrf”的请求参数发送令牌。

如果你想在会话中存储CSRF值，你需要有一种方法让你的AngularJS应用程序知道它。传统上，在非单页设置中，可以将其作为隐藏参数写入表单中。但由于这不是您的情况，您可能希望继续使用cookie。