Spring Boot 3 + Spring Security 6: 403 Запрещено при отправке POST от Postman (API без сохранения состояния) ⇐ JAVA

[Anonymous]

Я тестирую конечную точку POST API без сохранения состояния (без сеансов/форм), и Postman возвращает 403 Forbidden. Я подозреваю CSRF, но не уверен, как правильно настроить его в Security 6 для REST API без сохранения состояния.
MRE (минимальный код)

Код: Выделить всё

// ItemDto.java
public record ItemDto(String name, Integer stock) {}

Код: Выделить всё

// ItemsController.java
@RestController
@RequestMapping("/api")
public class ItemsController {
@PostMapping("/items")
public ResponseEntity create(@RequestBody ItemDto dto) {
return ResponseEntity.ok(dto.name() + "-" + dto.stock());
}
}

Код: Выделить всё

// SecurityConfig.java
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
// minimal config (this is where I'm stuck)
return http.build();
}
}

Ожидается:
POST должен вернуть 200 OK с JSON.
Что я пробовал:

Код: Выделить всё

http.csrf(csrf -> csrf.disable()); // unsure if safe for APIs
permitAll()

на /api/**, все еще получаю 403.


Подробнее здесь: https://stackoverflow.com/questions/797 ... om-postman