Java 使用“中的spring安全身份验证避免创建JSESSIONID cookie”；无状态模式_Java_Spring_Spring Security

Java 使用“中的spring安全身份验证避免创建JSESSIONID cookie”；无状态模式

java spring spring-security

Java 使用“中的spring安全身份验证避免创建JSESSIONID cookie”；无状态模式,java,spring,spring-security,Java,Spring,Spring Security,我需要构建一个无状态的rest服务。因此，会话不能在app server上创建，也不能在头响应中创建JSESSIONID cookie 在我的spring XML文件中，我添加了以下配置： <http create-session="stateless" disable-url-rewriting="true" use-expressions="true"> <intercept-url pattern="/product/**" /> <interc

我需要构建一个无状态的rest服务。因此，会话不能在app server上创建，也不能在头响应中创建JSESSIONID cookie

在我的spring XML文件中，我添加了以下配置：

  <http create-session="stateless"  disable-url-rewriting="true" use-expressions="true">
  <intercept-url pattern="/product/**" />
  <intercept-url pattern="/*"  />
  <http-basic />
 </http>

这样就不会创建JSESSIONID cookie。一切都好

但是，只要添加身份验证配置，如下所示：

<context:component-scan base-package="training.rest" />
 <http create-session="stateless" use-expressions="true">
  <intercept-url pattern="/product/**" access="hasRole('ROLE_ADMIN')"/>
  <http-basic />
 </http>

 <authentication-manager alias="authenticationManager">
  <authentication-provider>
   <user-service>
    <user authorities="ROLE_ADMIN" name="user1" password="password1" />
   </user-service>
  </authentication-provider>
 </authentication-manager>

我在响应头中看到了JSESSIONID

如何解决此问题并确保在标头响应中不返回JSESSIONID cookie？

您找到解决方案了吗？请参阅用户“从不”而不是“无状态”