我们的Java应用程序同时提供REST和SOAP Web服务。该应用程序通过Keycloft和Spring Security进行保护。我们配置了Java Key斗篷适配器以启用基本身份验证,并将其设置为仅承载。此外,我们将Spring Security的会话策略设置为无状态,并确保使用会话身份验证策略NullAuthenticatedSessionStrategy。
在应用程序方面,一切似乎都很好。不存储任何会话,其他应用程序可以使用基本身份验证。
但是,Keycloft中的客户端(用于对用户进行身份验证(充满了会话。由于我们对应用程序执行了大量调用,这很快导致了数千个会话。Keycloft中客户端的访问类型被设置为";公开";。
我们如何确保在REST/SOAP调用后立即删除会话?
非常感谢。
根据Key斗篷用户邮件列表,这目前是无法解决的。类似于";瞬态";会话可能在将来可用。