会话超时后,Spring会话会在不进行身份验证的情况下创建新会话

时间:2019-03-02 15:03:22

标签: java mongodb spring-boot spring-session

我在window.onhashchange类中使用@EnableMongoHttpSession。因此,当从浏览器中命中URL时,它要求进行身份验证。成功登录后,将在Mongo“会话”集合中创建一个新文档。会话超时后,将从集合中删除该文档。到目前为止一切都很好。

但是,当从浏览器中访问相同的URL时,将自动创建一个新会话而无需身份验证(创建新会话文档)。

使用的安全性配置如下:

HttpSessionConfig

请有人让我知道我在这里想念的东西。

编辑:在调查中,发现从浏览器中命中url,并且登录后在开发人员工具中看到cookie。下次访问url时,我可以在“请求标题”中看到“授权:基本....”和“ Cookie:SESSION .....”部分。

会话超时后,由于基本授权标头提供了用户名,因此无需询问身份验证即可创建新会话。

我们如何使Spring Boot考虑使用cookie来创建会话而不是使用Basic Authorization标头?

0 个答案:

没有答案