Spring安全缓存基本身份验证？不验证后续请求

Posted 2023-02-27

【中文标题】Spring安全缓存基本身份验证？不验证后续请求

【英文标题】：Spring security caching basic auth? Not verifying subsequent requests

【发布时间】：2016-12-25 10:24:16

【问题描述】：

我正在使用带有基本身份验证（弹簧安全）的弹簧靴。我正在做一些测试，似乎如果我使用正确的基本身份验证用户名和密码（通过邮递员）向我的 REST 端点发送一个请求，然后我删除用户名和密码或将其设置为不正确的，我的所有请求仍然经过身份验证？

我希望 Spring Security 对每个请求进行检查，如果 auth 标头丢失或更改，它应该返回 HTTP 401。有人可以帮忙解释为什么会这样吗？是否正在进行某种缓存？我正在使用 inMemoryAuthentication()。我也禁用了 CSRF。

【参考方案1】：

我想我找到了解决方案。您必须将会话设置为无状态。像这样：

 http
     .sessionManagement()
     .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

【讨论】：

发生了什么？邮递员是否在使用 Spring Security cookie？