Spring doc говорит
"Когда вы используете CSRF-защиту? Наша рекомендация - использовать защиту CSRF для любого запроса, который может быть обработан браузером обычными пользователями. Если вы создаете только сервис, который используется не-браузерами, вы, скорее всего, будете хотите отключить защиту CSRF".
Что делать, если моя служба будет использоваться как "браузером", так и "не-браузерными" клиентами, например внешними службами сторонних организаций, обеспечивает ли spring безопасность отключать csrf исключительно для определенных типов клиентов?
Ссылка: http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html