首先咱们明确一点：CVE-2018-1258不是OpenFeign本身的漏洞，它是Spring Security OAuth2组件里的授权码流程验证漏洞，攻击者可能通过构造恶意请求绕过部分安全校验。你当前用的Spring Cloud 2.1.3.RELEASE（Greenwich SR3）理论上已经包含该漏洞的修复，但安全检测仍提示风险，大概率是依赖版本冲突或配置问题导致的——完全没必要直接移除Feign Client自己实现调用逻辑，下面给你具体的解决步骤：

1. 先确认依赖树中的实际版本 #

安全检测的规则可能会误判，第一步要先排查项目中实际引入的spring-security-oauth2版本是否真的包含修复。这个漏洞的修复版本是2.3.3.RELEASE及以上（针对Spring Security OAuth2的2.3.x分支），而Spring Cloud Greenwich SR3对应的Spring Security OAuth2版本应该是2.3.4.RELEASE，已经修复了该漏洞。

你可以用以下命令查看依赖树：

• Maven项目：mvn dependency:tree | grep spring-security-oauth2
• Gradle项目：./gradlew dependencies | grep spring-security-oauth2

如果输出的版本低于2.3.3.RELEASE，说明有其他依赖引入了旧版本，需要在你的依赖声明中排除旧版本，强制使用修复后的版本。比如Maven中可以这样配置：

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-openfeign</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<!-- 手动引入修复后的稳定版本 -->
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.6.RELEASE</version>
</dependency>

2. 检查Spring Security与Feign的配置 #

即使版本没问题，错误的配置也可能触发安全检测告警。你需要确认以下几点：

• 如果你用Feign调用OAuth2保护的API，确保请求携带的令牌是合法的，优先通过Spring Cloud Security的自动配置（比如@EnableOAuth2Client或@EnableResourceServer）管理令牌，不要手动构造请求头。
• 对于授权码流程的客户端，确保state参数是随机生成的（修复后的版本默认会处理，但如果自定义了授权逻辑，需要检查是否正确验证该参数）。
• 确认CSRF防护配置正确：如果是Web应用，对POST/PUT/DELETE等请求启用CSRF校验；Feign调用内部API时可通过配置跳过CSRF，但外部API必须遵循安全规范。

3. 考虑升级到当前分支的最新维护版本 #

Spring Cloud Greenwich分支的最新维护版本是Greenwich SR6，对应的Spring Boot版本是2.1.18.RELEASE，这个版本包含了更多安全修复和bug修复。升级到这个版本能确保所有依赖组件都是最新的修复版本，从根源上避免类似漏洞告警。

升级步骤很简单：

• 修改pom.xml或build.gradle中的Spring Boot版本为2.1.18.RELEASE
• 修改Spring Cloud版本为Greenwich.SR6
• 重新构建项目，检查依赖树确认所有组件版本正确

结论 #

完全不需要移除OpenFeign Client，这个问题可以通过验证依赖版本、排除冲突、调整配置或升级维护版本来解决。OpenFeign作为Spring Cloud生态中成熟的客户端调用组件，移除它会增加大量重复代码，得不偿失。

内容的提问来源于stack exchange，提问作者Hitesh Garg