Grails Spring Security REST -- 获取会话 cookie

Question

我正在构建一个 Grails 应用程序，并且正在使用 spring-security-core-3.2.0 和 spring-security-rest/2.0.0。一切正常，我可以登录我的网络应用程序，还可以使用 JWT 令牌以 RESTful 方式进行身份验证/通信。但是，通过 REST 调用，我仍然得到一个 JSESSIONID 令牌。由于 REST 是无状态的，我不希望有会话。我似乎找不到为此的配置选项。有没有办法禁止为 RESTful 调用创建会话？

这是我看到的会话：

curl -D headers.txt -H "Content-Type: application/json" -X POST -d '{"username":"xxxxx","password":"xxxxxx"}' http://xxxx:8080/api/login

检查 headers.txt，我看到了：

HTTP/1.1 200 
Cache-Control: no-store
Pragma: no-cache
Set-Cookie: JSESSIONID=3004A67F66933E639E68D79FA1E1CA88; Path=/; HttpOnly
Content-Type: application/json;charset=UTF-8
Content-Length: 2247
Date: Sun, 12 Nov 2017 16:57:40 GMT

Answer 1

我在所有地方的文档中找到了答案。 :-)

这一切都与过滤器链有关，哪些 url 模式应该是无状态的，哪些不是。我在 grails.plugin.springsecurity.filterChain.chainMap 的 application.groovy 中添加了以下映射：

[pattern: '/api/**',
  filters: 'JOINED_FILTERS,-anonymousAuthenticationFilter,-exceptionTranslationFilter,-authenticationProcessingFilter,-securityContextPersistenceFilter,-rememberMeAuthenticationFilter'
]

完整设置：

grails.plugin.springsecurity.filterChain.chainMap = [
    [pattern: '/assets/**',      filters: 'none'],
    [pattern: '/**/js/**',       filters: 'none'],
    [pattern: '/**/css/**',      filters: 'none'],
    [pattern: '/**/images/**',   filters: 'none'],
    [pattern: '/**/favicon.ico', filters: 'none'],
    [pattern: '/api/**',
      filters: 'JOINED_FILTERS,-anonymousAuthenticationFilter,-exceptionTranslationFilter,-authenticationProcessingFilter,-securityContextPersistenceFilter,-rememberMeAuthenticationFilter'
    ],
    [pattern: '/**',             filters: 'JOINED_FILTERS']
]