我已经使用vaadin-flow实现了一个示例spring boot应用程序。我实现了具有两个角色(User, Admin)
的内存中授权。首次登录时,系统会按预期要求提供凭据。我请求"/my/logout"
网址注销,此后,我仍然可以访问受限制的内容而无需提供用户凭据(不提示用户登录)。以下是我的网络安全配置
http.csrf().disable().
authorizeRequests()
.anyRequest().authenticated()
.antMatchers("/VAADIN/**", "/PUSH/**", "/UIDL/**", "/login", "/login/**", "/error/**", "/accessDenied/**", "/vaadinServlet/**").permitAll()
.and().httpBasic()
.and().logout().logoutUrl("/my/logout")
.permitAll();