Я определил следующий механизм выхода из системы (я использую аутентификацию JWT без сохранения состояния)
<security:logout
logout-url="/logout"
delete-cookies="X-AUTH-TOKEN"
invalidate-session="true"
success-handler-ref="restLogoutSuccessHandler"/>
А вот ответ сервера на запрос POST выхода из системы
Set-Cookie: X-AUTH-TOKEN=null; expires=Thu, 01-Jan-1970 01:00:00 GMT; path=/foo/
Однако,в браузере осталось два файла cookie следующим образом:
X-AUTH-TOKEN: null
X-AUTH-TOKEN: <the value before logout>
В следующих запросах браузер (Chrome) по-прежнему использует старый действительный токен JWT до тех пор, пока новый заголовок JWT не будет выдан заголовком set-cookie или пока не истечет срок действия токена. ,Очевидно, это зло, поскольку выход из системы не содержит действительный токен, а сеанс остается активным. Как мне убедиться, что при выходе из системы команды обозревателя утилизируют старый токен?