Я пытаюсь изменить sessionAuthenticationStrategy, чтобы он не менял идентификатор сеанса при каждом вызове. Я пробовал несколько способов сделать это:
Установка фиксации сеанса на none () в WebSecurityConfigureAdapter: sessionManagement().sessionFixation().none()
Явная установка стратегия аутентификации на null: sessionManagement().sessionAuthenticationStrategy(new NullAuthenticatedSessionStrategy())
Идентификатор сеанса по-прежнему изменяется, и из того, что я прочитал, установка sessionFixation на none () является решением. Во время отладки я вижу, что стратегия - это не NullAuthenticatedSessionStrategy, а ChangeSessionIdAuthenticationStrategy.
PS Я знаю, что такой подход не рекомендуется из-за уязвимости, но это требование.