TL; DR
是否可以基于每个请求在Spring(安全性)中控制会话创建策略?
长版……
我一直在为我们的应用程序使用普通登录表单用户身份验证
一些控制器是@RestControllers,到目前为止,cookie跟踪的默认用户会话允许它正常工作.
(即,当XHR请求来自页面时,请求被认证到先前登录的用户,因为浏览器像往常一样发送JSESSIONID cookie)
我现在想允许从休息客户端而不是浏览器调用一些@RestController端点,所以我创建了一个API令牌认证方案 – 这很好.
清理的最后一点是REST调用生成一个会话,如果可能的话我想避免.
我无法将会话策略设置为永远(因为我仍然依赖于我的网络用户的会话).
我试过IF_REQUIRED无济于事.
我查看了HttpSessionSecurityContextRepository,但它包装了请求,每当刷新响应时都会创建一个会话.
(参见下面的stacktrace)
是否可以在其他地方根据请求挂钩会话管理?
我可以根据Authentication对象的类类型轻松区分请求的类型.
at myapp.cfg.WebConfig$1.sessionCreated(WebConfig.java:74)
at io.undertow.servlet.core.ApplicationListeners.sessionCreated(ApplicationListeners.java:300)
at io.undertow.servlet.core.SessionListenerBridge.sessionCreated(SessionListenerBridge.java:56)
at io.undertow.server.session.SessionListeners.sessionCreated(