我正在使用 Spring Security 6.2.0 并在本地主机上进行开发,SESSION cookie 使用“Secure”设置。这导致 Firefox 不接受 cookie,因为该服务使用的是没有 LTS 的 HTTP。
我需要禁用此功能以进行本地主机开发。
我设置了 server.servlet.session.cookie.secure = false 的值,并且在调用 AuthenticationSuccessHandler 时确认该值为 false,但 SESSION Cooke 仍然有“Secure”
我没有使用application.properties,每个环境的配置都在AWS中。从 AWS 读取值会忽略该设置,但在命令行上设置它可以。
通过添加参数 -Dserver.servlet.session.cookie.secure=false,“安全”设置将从会话 cookie 中删除,现在 Firefox 可以正常工作了。
这表明该值在启动时读取,之后不再读取,可能在构造函数中设置。