我对以下方面有疑问:春季会议和春季安全.
我有一个受Spring Security保护的应用程序,通过示例示例中提供的基本内存中身份验证.
我看到spring正在创建会话ID,即使身份验证不成功,这意味着x-auth-token即使我不提供基本身份验证凭据详细信息,我也会在Redis数据库中看到我的响应标头.我们如何避免为身份验证失败创建会话?
假设spring会话仅为受保护资源创建会话,则希望使用spring security来保护资源.
假设Signin API(/ signin - HTTP Post)针对第三方REST API验证(用户名和密码)凭据.
外部API验证凭据后,如何在成功验证时更新spring安全上下文?
应提供对x-auth-token需要验证的其他安全资源的访问,并基于对安全资源的信息访问.
在这种情况下我们是否需要Spring Security或者我应该使用基本的过滤器和弹簧会话?推荐什么?