Скажите post
было отправлено код /login
, были действительны username
и password
параметры.Каким образом основанная на форме аутентификация работает в условиях весенней безопасности?
Первый - Что должно быть в ответ? Должен ли он содержать jsessionid и/или другую информацию?
Второй - Как пружина безопасности идентифицирует текущего пользователя? Использует ли он фильтрацию jsessionid
или «смотрит» на другую информацию (заголовок custome, файлы cookie и т. Д.)? По «jsessionid
filtering» Я имею в виду (может быть, это неправильно), что при успешном входе пользователя в систему безопасности весы сохраняют jsessionid
в успешный аутентифицированный список сеансов и сохраняют другую информацию (например, роли) в объекте сеанса. Это работает так или нет?
Третий Было бы хорошо, если некоторые тела обеспечивают шаг за шагом сырья запросов HTTP/ответы с аутентификацией: например, то, что должен содержать post
запрос и что соответствует отклику ответа. Кроме того, какой запрос на защищенный ресурс должен содержать (некоторый заголовок, cookie, jsession или еще)?
http://stackoverflow.com/questions/ 29276806/spring-security-testing-understanding-rest-authentication. В этом вопросе, внизу основного сообщения, вы можете увидеть, как реагирует Spring-Security. –