我有一个基于Spring的webapp,它具有完全无状态的安全性,使其工作的唯一方法是完全禁用会话创建(使用
create-session="never")。这会强制对每个请求进行重新身份验证,因此,你还需要将webapp配置为使用HTTP Basic Auth或Digest Auth(当然是通过HTTPS),因为这些不需要特别复杂的协商(相比之下,表单)的登录和OAuth都需要一个会话,因为它们用于建立身份验证上下文的过程要复杂得多。这意味着你将需要在元素
<security:http-basic />内部放置一个类似的
<security:http>元素。
(这样做的好处是,它启用了非常简单的客户端库,因为它们不必执行cookie /会话管理。代价是处理上的一些开销-建立用户要参与的角色集的建立可以根据每个请求重新计算-以及可以使用哪种身份验证机制的一些限制。)
