And*_*dyB 2 spring-security saml-2.0 spring-saml
我正在为我的 SP 使用 Spring Security SAML 扩展。从 IDP 对用户进行身份验证后,SP 会使用某种方法来允许后续调用不必通过 IDP 重新进行身份验证。这是如何在 Spring Security SAML 扩展中完成的?
一个相关的问题: 根据 SAML IDP 对移动用户进行身份验证
在上述相关问题的公认答案中,SP 应创建一个令牌并将其传递回客户端以供将来请求。在 Chrome 的网络工具中观看流程时,我没有看到类似的内容。我应该寻找什么?
更新 1:我得出的结论是 Spring SAML 不会以令牌的形式将任何内容传递回浏览器。它必须在服务器端跟踪用户。我可以得到确认吗?在 REST 调用的情况下,是否可以生成令牌传递回客户端?
Spring SAML 依靠 Spring Security 来处理用户的身份验证状态。默认情况下,用户状态存储在SecurityContext和Authentication对象中,这些对象被放入用户的 HTTP 会话(由安全 cookie 标识,通常是传递给浏览器的 JSESSIONID)。您将能够在 Spring Security 文档中找到与此相关的所有详细信息。
如果您的用户从她进行身份验证的浏览器调用 REST API,并且该 API 与 Spring Security 应用程序一起部署,则该调用将提供与正常服务器调用相同的 cookie,并且它们将使用相同的机制进行身份验证无需任何令牌。
如果您要调用未建立会话或使用其他方式进行身份验证的 3rd 方 REST API,则保护此类场景的一种方法是例如发布和使用 OAuth 2.0 承载令牌。
| 归档时间: |
|
| 查看次数: |
2305 次 |
| 最近记录: |