TL;DR是否可以在每个请求的基础上控制Spring(安全)中的session创建策略？长版...我一直在为我们的应用程序使用普通的登录表单用户身份验证。一些Controller是@RestControllers，到目前为止，由cookie跟踪的默认用户session允许它正常工作。(即，当XHR请求来自页面时，当浏览器像往常一样发送JSESSIONIDcookie时，该请求被验证为先前登录的用户)我现在想要允许从休息客户端而不是浏览器调用一些@RestController端点，所以我创建了一个APItoken身份验证方案-这工作正常。最后的清理工作之一是REST调用生成一个sessi