我正在使用具有基本身份验证( Spring 安全性)的 Spring Boot 。我正在做一些测试,似乎如果我使用正确的用户名和密码(通过 postman )向我的 REST 端点发送单个请求,然后我删除用户名和密码或将其设置为不正确的用户名和密码,我的所有请求仍然经过身份验证?
我希望 Spring Security 对每个请求进行检查,如果 auth header 丢失或更改,它应该返回 HTTP 401。有人可以帮忙解释为什么会发生这种情况吗?是否有某种缓存正在进行?我正在使用 inMemoryAuthentication()。我也禁用了 CSRF。
最佳答案
我想我找到了解决方案。您必须将 session 设置为无状态。像这样:
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
关于spring-security - Spring安全缓存基本身份验证?不验证后续请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39019029/