Приложение регистрирует все запрошенные url
s. Это означает, что критически важно не проверять подлинность с использованием параметров url, потому что это приведет к ситуации, когда журналы заполнены парами t21. По этой причине я настроил spring-security
для чтения параметров из request-body
. Это делается путем добавления следующей строки в request-header
:
'Content-Type': 'application/x-www-form-urlencoded'
Тело будет:
{'login':'admin', 'password':'password'}
Это нормально, но QA заставляет меня отключить возможность аутентификации через URL-параметры. В настоящий момент POST на следующий URL-адрес также будет аутентифицироваться:
https://example.com/foo?login=admin&password=password
Кто-нибудь знает трюк, чтобы отключить этот параметр? Предпочтительно аннотация.
В связи с комментарием я решил добавить несколько подробностей к моей проблеме. Мой spring-security настроен с помощью WebSecurityConfigurerAdapter
. У меня
http.usernameParameter("login")
.passwordParameter("password")
(...)
Это делает Spring
поиск данных для входа в обоих параметрах и в теле. Я хочу отключить поиск этих параметров в URL-адресе.