我在window.onhashchange类中使用@EnableMongoHttpSession。因此,当从浏览器中命中URL时,它要求进行身份验证。成功登录后,将在Mongo“会话”集合中创建一个新文档。会话超时后,将从集合中删除该文档。到目前为止一切都很好。
但是,当从浏览器中访问相同的URL时,将自动创建一个新会话而无需身份验证(创建新会话文档)。
使用的安全性配置如下:
HttpSessionConfig请有人让我知道我在这里想念的东西。
编辑:在调查中,发现从浏览器中命中url,并且登录后在开发人员工具中看到cookie。下次访问url时,我可以在“请求标题”中看到“授权:基本....”和“ Cookie:SESSION .....”部分。
会话超时后,由于基本授权标头提供了用户名,因此无需询问身份验证即可创建新会话。
我们如何使Spring Boot考虑使用cookie来创建会话而不是使用Basic Authorization标头?