具有自定义身份验证和会话存储的 Spring Boot Security

Question

我正在为单页应用程序 Vue 尝试简单的 Spring Boot 应用程序，其中 Web 服务器应该回答所有 /api、/auth/login 和 /auth/logout 请求而没有任何视图，只是 JSON 响应，比如REST API。

为了简单起见，我想要一个用户名和密码验证，但由 Vue 前端调用。当我使用.formLogin() 时，Spring Security 会使用JSESSIONID 创建一个 cookie，但它可能在内存中。

对不起，如果问题不合适，但我总是发现相互矛盾的方法，并且由于我缺乏知识而很快迷失了方向：

1. 是否需要 Spring Session，或者如何扩展它以存储在我拥有的自定义存储库中？
2. formLogin() 是正确的选择，还是我应该使用其他东西？

Answer 1

1. Spring Session 依赖（org.springframework.session:spring-session-core）不需要手动添加到类路径，因为它是由 Spring Security 完成的。但是，如果您想自定义会话管理，例如更改内存中的默认 SessionRepository 类或会话 cookie 名称，则应该添加它。
2. formLogin 是正确的选择之一，但您需要配置它以替换默认的 spring 安全行为。就像在getting started guide 中一样，配置HttpSecurity bean 以使用您的/auth/login 和/auth/logout 值更改默认的/login 和/logout 端点路径。您可能还想在此 bean 中配置其他内容，例如在 exceptionHandling 配置中添加 authenticationEntryPoint，以便 API 服务器响应 401 http 状态而不是重定向到登录页面。