我们的Java应用程序同时提供REST和SOAP Web服务。该应用程序通过Keycloak和Spring Security进行保护。我们将Java Keycloak适配器配置为启用基本身份验证并将其设置为仅承载。此外,我们将Spring Security的会话策略设置为无状态,并确保使用了会话身份验证策略 NullAuthenticatedSessionStrategy 。
在应用程序方面,一切似乎都可以正常工作。没有会话被存储,其他应用程序可以使用基本身份验证。
但是,Keycloak(用于验证用户身份)中的客户端充满了会话。当我们对应用程序执行大量调用时,这很快导致数千个会话。客户端在Keycloak中的访问类型设置为“公共”。
我们如何确保在REST / SOAP调用后立即删除会话?
非常感谢您。
答案 0 :(得分:0)
根据Keycloak用户邮件列表,当前无法解决。将来可能会提供类似“临时”会话的内容。