我使用带有基本身份验证的弹簧启动(弹簧安全性)。我正在做一些测试,似乎如果我使用正确的基本身份验证用户名和密码(通过postman)向我的REST端点发送一个请求,那么我删除用户名和密码或将其设置为错误的,我的所有要求仍然经过身份验证?
我希望spring security能够对每个请求进行检查,如果auth标头丢失或更改,它应该返回HTTP 401.有人可以帮忙解释为什么会发生这种情况吗?是否有某种缓存?我正在使用inMemoryAuthentication()。我也禁用了CSRF。
答案 0 :(得分:6)
我想我找到了解决方案。您必须将会话设置为无状态。像这样:
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);