spring boot 2.0.2项目中使用spring security和 JWT进行登录认证,
在spring security配置中禁用session
httpSecurity.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
请求接口后,浏览器的cookie中还是有JSESSIONID,
spring boot 内置的Tomcat中还是创建了session,
怎么样配置才可以?
谢谢你的提醒,我找到原因了,并不是STATELESS不起作用,STATELESS和NEVER都可以禁用。之前发送请求的时候,postman自动带上了一个cookie,去掉之后再发送请求,返回的数据中就没有cookie了。
这个问题贼坑,我原来用的是httpSecurity.sessionManagement().disable(),用 postman请求竟然有记住用户的操作,但使用js访问中请求403,一层一层debug进去,zz,tomcat自己给保存了用户认证信息,改成这种stateless后,debug发现tomcat不再保存了
