Вопрос о spring security.
Есть старое сервер приложение основанное на веб сервлетах, где куки ставятся в Set-Cookie header вручную. Приложение надо мигрировать на Spring boot. Всё вроде работает, контекст доступен на новых и старых endpoints. Старые сервлеты легко подключились через @ServletComponentScan.
Проблема: старое приложение ставит все response headers вручную, и из-за миграции и объёма какое-то время оно должно продолжать это делать. Все headers ставятся кроме Set-Cookie, ощущение что Spring security просто удаляет этот конкретный header. Вопрос, как/где это отключить, что бы можно было вручную добавить Set-Cookie?
конфигурация:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.authorizeRequests()
.anyRequest()
.permitAll()
.and()
.cors().and().csrf().disable().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);