dem*_*g0d 3 spring-security spring-boot
我正在使用具有基本auth(弹簧安全性)的弹簧靴.我正在做一些测试,似乎如果我使用正确的基本身份验证用户名和密码(通过postman)向我的REST端点发送一个请求,那么我删除用户名和密码或将其设置为错误的,我的所有要求仍然经过身份验证?
我希望spring security能够对每个请求进行检查,如果auth标头丢失或更改,它应该返回HTTP 401.有人可以帮忙解释为什么会发生这种情况吗?是否有某种缓存?我正在使用inMemoryAuthentication().我也禁用了CSRF.
我想我找到了解决方案.您必须将会话设置为无状态.像这样:
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
| 归档时间: |
|
| 查看次数: |
1390 次 |
| 最近记录: |