Spring引导Cookie与标头字段中的授权
我有一个非常小的Spring引导Cookie与标头字段中的授权,spring,spring-boot,Spring,Spring Boot,我有一个非常小的springboot应用程序,它依赖于springbootstarterweb和springbootstartersecurity。我昨天刚学过春靴。我注意到,发送如下POST请求,即使提供了错误的basic auth密码,请求也会成功。因为,在以前的成功请求中存在cookie curl --location --request POST 'http://localhost:8080/create' --header 'Content-Type: application/json
springboot
应用程序,它依赖于springbootstarterweb
和springbootstartersecurity
。我昨天刚学过春靴。我注意到,发送如下POST
请求,即使提供了错误的basic auth
密码,请求也会成功。因为,在以前的成功请求中存在cookie
curl --location --request POST 'http://localhost:8080/create' --header 'Content-Type: application/json' --header 'Cookie: JSESSIONID=EA39A09B47575D192845148AFFCAD85B' --data-raw '{
"surname":"Murdock",
"givenname":"John",
"placeofbirth":"Slovenia",
"pin":"1234"
}'
这是预期的行为吗?我如何使
spring boot
始终检查提供的basic auth
密码?如果您只有spring boot starter web
则没有安全性,cookie或标头也没有任何作用(cookie很好,因为您可能会在会话中存储某些内容)。如果会话中已有身份验证,则不会重新验证用户。您可以切换到无状态安全性(无状态安全性不存储身份验证,要求每个请求都提供有效的用户名/密码或令牌或..)。