我和我的朋友正在为大学实践制作一个JavaSpringBoot应用程序。它的前端在firebase上，api在heroku上
问题如下，我将spring security配置为：

@Override
protected void configure(final HttpSecurity http) throws Exception {
    http.cors().and().csrf().disable()
            .authorizeRequests()
            .antMatchers("/admin/**", "/bid/getBids", "/bid/{id}", "/purchase/create",
                    "/purchase/{id}", "/purchase/question/{questionId}/answer").hasAuthority("ROLE_ADMIN")
            .antMatchers("/registration/**", "/registration").permitAll()
            .anyRequest().authenticated()
            .and()
                .httpBasic()
            .and()
            .formLogin()
            .permitAll()
            .and()
            .logout()
            .logoutSuccessUrl("/").deleteCookies("JSESSIONID")
            .invalidateHttpSession(true);
}

当我通过swagger/postman在heroku上测试api时，一切正常，包括角色限制。
但是当它试图通过/login路径设置授权时，它会重定向到swaggerui页面，因为我就是这样设置的。我在firebase上重写了重定向到它的主页，但是会话没有这样工作，显然是因为cookies被保存到我在heroku上的应用程序地址。
请告诉我如何配置Spring Security ，以便其站点在授权期间保存用户会话，并且该站点使用我的api正常工作？
有些短语我用翻译，对不起