basic-authでサーブレットのTomcatでセッションを防止する方法は？

Question

私はspring-boot-starter-webを使って、tomcat8にデプロイされたwarアプリを作成しています。

各サーブレットリクエストでbasic-authenticationを強制的に実行し、guiを保護するために@EnableWebSecurityがあります。

主な目的は、主にプログラムによってアクセスされるWebサービスXMLを提供することです。したがって、クライアントはGET要求を常にbasic-authで送信します。

問題：tomcatはリクエストごとに新しいセッションを作成します。クライアントがプログラムでXMLサーブレットに接続すると、セッションは決してでログアウトされます。。また、次のクライアント要求が再度基本認証を送信するときに再利用されません。

これらのセッションは、タイムアウト（例：デフォルトの30分）までTomcatに存在します。その間に記憶を消費する。

質問：basic-auth httpヘッダーを提供する接続がセッションを作成する必要がないということを、tomcatまたはspring-servletにどのように伝えることができますか？ユーザーを認証し、応答を送信し、セッション情報を忘れるだけですか？

Answer 1

あなたは春のセキュリティのHttpSessionを作成することはありません、それはあなたのWebSecurityConfigurationなどでそれを設定したSecurityContext

を得るためにそれを使用することはありません

SessionCreationPolicy.STATELESS

にセッション作成ポリシーを設定することができます。

http.antMatcher("/api/**") 
       .sessionManagement() 
       .sessionCreationPolicy(SessionCreationPolicy.STATELESS); 

Answer 2

SessionCreationPolicy.NEVERが正解です。デフォルトでセッションを作成しないためです。しかし、セッションが要求された場合（例えば、my/guiパスのフォームログインのために）、それが使用されます。

このように、プログラムによるリクエストはセッションを作成しません。しかし、Webブラウザ内でテストされた場合（基本認証を提供するフォームログインによって保護されている場合）、セッションが作成されます。ブラウザ内から要求を送信するたびに基本認証資格情報を入力する必要がないため、望ましい動作です。

http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);