我做了一个API服务器提供给手机端调用，用Spring Session连接Redis来做多台tomcat的session共享，用security来做API的权限拦截，并且使用了x-auth-token也就是header的token验证。现在遇到一个问题，有一些API是无权限验证的，但访问这些API时，spring会为每次request都创建session，返回一个新的x-auth-token，这样可能会导致session过多，请问如何配置才能让这种情况无需创建session呢？已经配置create-session="never"，但不管用。以下是security配置 <http realm="Protected API" use-expressions="true" auto-config="false" create-session="never" entry-point-ref="customAuthenticationEntryPoint"> <intercept-url pattern="/auth/login/phone" access="permitAll()" /> <intercept-url pattern="/**" access="isAuthenticated()" /> <access-denied-handler ref="customAccessDeniedHandler" /> </http> spring session <!-- 在HTTP的header中使用x-auth-token:來實現session --> <bean class="org.springframework.session.web.http.HeaderHttpSessionStrategy" /> <!-- This is essential to make sure that the Spring Security session registry is notified when the session is destroyed. --> <bean class="org.springframework.security.web.session.HttpSessionEventPublisher" /> <bean class="org.springframework.session.data.redis.config.annotation.web.http.RedisHttpSessionConfiguration" scope="singleton"> <!-- session为60分钟过期 --> <property name="maxInactiveIntervalInSeconds" value="${session.maxInactiveIntervalInSeconds}"></property> </bean> ... 省略redis pool配置