Когда я вызываю logout, он меняет jsessionid, но все же позволяет мне получить доступ к другим путям без необходимости входа - PullRequest
Новая
       9

Когда я вызываю logout, он меняет jsessionid, но все же позволяет мне получить доступ к другим путям без необходимости входа

0 голосов
/ 09 октября 2019

Я пытаюсь выйти из системы с помощью Spring Security, но каждый раз, когда я вызываю URL выхода из системы, это меняет jsessionid, но я все равно могу получить доступ к URL-адресам, которые должны быть ограничены, и просит меня снова войти в систему. 

public void configure(HttpSecurity httpSecurity) throws Exception{

        httpSecurity.httpBasic();

        httpSecurity.authorizeRequests()
                .mvcMatchers(HttpMethod.GET, "/privateEvent").hasAuthority("REGISTERED_USER")
                .mvcMatchers(HttpMethod.DELETE, "/privateEvent/*").hasAuthority("RSVP_ADMIN")
                .mvcMatchers("/registerPrivateEvent").hasAuthority("REGISTERED_USER")
                .mvcMatchers("/guestList").hasAuthority("EVENT_PUBLISHER")
                .mvcMatchers("/eventPublishersList").hasAuthority("RSVP_ADMIN")
                .anyRequest().permitAll()
         .and()
                .logout()
                .invalidateHttpSession(true)
                .deleteCookies("JSESSIONID")
                .deleteCookies("XSRF-TOKEN")
                .clearAuthentication(true)
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .logoutSuccessUrl("/allDone")
                .permitAll()
          .and()
                .csrf().disable();
}
...