Spring引导Cookie与标头字段中的授权_Spring_Spring Boot

Spring引导Cookie与标头字段中的授权

spring spring-boot

Spring引导Cookie与标头字段中的授权,spring,spring-boot,Spring,Spring Boot,我有一个非常小的springboot应用程序，它依赖于springbootstarterweb和springbootstartersecurity。我昨天刚学过春靴。我注意到，发送如下POST请求，即使提供了错误的basic auth密码，请求也会成功。因为，在以前的成功请求中存在cookie curl --location --request POST 'http://localhost:8080/create' --header 'Content-Type: application/json

我有一个非常小的

springboot

应用程序，它依赖于

springbootstarterweb

和

springbootstartersecurity

。我昨天刚学过春靴。我注意到，发送如下

POST

请求，即使提供了错误的

basic auth

密码，请求也会成功。因为，在以前的成功请求中存在cookie

curl --location --request POST 'http://localhost:8080/create' --header 'Content-Type: application/json' --header 'Cookie: JSESSIONID=EA39A09B47575D192845148AFFCAD85B' --data-raw '{
"surname":"Murdock",
"givenname":"John",
"placeofbirth":"Slovenia",
"pin":"1234"
}'

这是预期的行为吗？我如何使

spring boot

始终检查提供的

basic auth

密码？

如果您只有

spring boot starter web

则没有安全性，cookie或标头也没有任何作用（cookie很好，因为您可能会在会话中存储某些内容）。如果会话中已有身份验证，则不会重新验证用户。您可以切换到无状态安全性（无状态安全性不存储身份验证，要求每个请求都提供有效的用户名/密码或令牌或..）。