创建会话无状态用法

创建会话无状态用法

我有一个基于Spring的webapp，它具有完全无状态的安全性，使其工作的唯一方法是完全禁用会话创建（使用

create-session="never"

）。这会强制对每个请求进行重新身份验证，因此，你还需要将webapp配置为使用HTTP Basic Auth或Digest Auth（当然是通过HTTPS），因为这些不需要特别复杂的协商（相比之下，表单）的登录和OAuth都需要一个会话，因为它们用于建立身份验证上下文的过程要复杂得多。这意味着你将需要在元素

<security:http-basic />

内部放置一个类似的

<security:http>

元素。

（这样做的好处是，它启用了非常简单的客户端库，因为它们不必执行cookie /会话管理。代价是处理上的一些开销-建立用户要参与的角色集的建立可以根据每个请求重新计算-以及可以使用哪种身份验证机制的一些限制。）