Spring Security返回403而不是401，并创建无效的Redis会话cookie

Spring Security返回403而不是401是因为权限不足而不是身份验证失败。当用户尝试访问需要特定权限的资源时，Spring Security会返回403 Forbidden错误，表示用户没有足够的权限进行访问。

与之相反，当用户未经身份验证尝试访问受保护的资源时，应返回401 Unauthorized错误，表示用户需要提供有效的身份验证凭据。

创建无效的Redis会话cookie可能导致身份验证失败，从而返回401错误。Redis会话cookie用于存储用户的会话信息，如果会话cookie无效，则无法验证用户的身份。

为了解决这个问题，可以采取以下步骤：

1. 检查Redis会话配置：确保Redis会话配置正确，并且与Spring Security集成正常。确保Redis服务器正在运行，并且与应用程序正确连接。
2. 检查会话管理器配置：确保会话管理器正确配置，并且与Redis会话存储进行交互。确保会话管理器能够正确读取和写入Redis会话数据。
3. 检查会话过期时间：确保会话过期时间设置合理。如果会话过期时间太短，会导致会话cookie在用户访问期间过期，从而导致身份验证失败。
4. 检查会话cookie配置：确保会话cookie配置正确，并且与Redis会话存储进行交互。确保会话cookie能够正确传递给客户端，并在后续请求中正确发送回服务器。
5. 检查身份验证逻辑：确保身份验证逻辑正确实现，并且能够正确验证用户的身份。检查用户凭据是否正确解析，并与存储的凭据进行比较。

总结起来，Spring Security返回403而不是401可能是由于权限不足而不是身份验证失败所致。创建无效的Redis会话cookie可能导致身份验证失败。为了解决这个问题，需要检查Redis会话配置、会话管理器配置、会话过期时间、会话cookie配置和身份验证逻辑。