Я работаю над старым проектом, в котором реализована весенняя защита, но не включена веб-безопасность, что обеспечивает доступ для всех WS. (Да, это происходит: /)
Я включил веб-безопасность и использовал ее в памяти пользователя и успешно подключился к ней. Проблема в том, что когда я тестировал с почтальоном и после успешного запроса я сменил пароль в почтальоне, и он все еще работает !!
Для более подробного объяснения сценарий таков:
send request with user:user -> response: 200 Ok
send request with user:wrongpswd -> response: 200 Ok
send request with wronguser:user -> response: 401 unauthorized
send request with user:wrongpswd -> response: 401 unauthorized
send request with user:user -> response: 200 Ok
send request with user:wrongpswd -> response: 200 Ok
Таким образом, он проверяет пароль, но когда он проходит, он не проверяет. Я искал перехватчики, но не нашел.
это мой класс конфигурации:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().withUser("user").password("user").roles("USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic().and().authorizeRequests()
.antMatchers("/**").authenticated()
.and().csrf().disable();
}
}