Spring Security 避免基本身份验证的不必要Keycloak会话

cidc1ykv  于 2023-01-20  发布在  Spring
关注(0)|答案(1)|浏览(146)

我们的Java应用程序提供REST和SOAP Web服务。应用程序通过Keycloak和Spring Security进行保护。我们配置了Java Keycloak适配器以启用基本身份验证,并将其设置为仅承载。此外,我们将Spring Security的会话策略设置为无状态,并确保使用会话身份验证策略 * NullAuthenticatedSessionStrategy *。
在应用程序端,一切似乎都工作正常。没有会话被存储,其他应用程序可以使用基本的身份验证。
然而,Keycloak中的客户端(用于验证用户)充满了会话。由于我们对应用程序执行了大量调用,这很快导致了数千个会话。Keycloak中客户端的访问类型设置为"public"。
我们如何确保在REST/SOAP调用之后立即删除会话?
非常感谢。

w9apscun

w9apscun1#

根据Keycloak用户邮件列表,这目前还不能解决。类似“ transient ”会话的东西很可能会在未来提供。

相关问题