gpt4 book ai didi

spring-security - Spring Security SAML扩展如何处理认证后的后续请求?

转载 作者:行者123 更新时间:2023-12-05 01:20:39 33 4
gpt4 key购买 nike

我正在为我的 SP 使用 Spring Security SAML 扩展。用户通过 IDP 身份验证后,SP 使用某种方法允许后续调用不必通过 IDP 重新进行身份验证。这是如何在 Spring Security SAML 扩展中完成的?

相关问题: Authenticating mobile users against SAML IDP

在上述相关问题的接受答案中,SP 应创建一个 token 并将其传回客户端以供将来请求使用。在 Chrome 的网络工具中查看流程时,我没有看到类似的内容。我应该寻找什么?

更新 1:我得出的结论是 Spring SAML 不会以 token 的形式将任何内容传回浏览器。它必须在服务器端跟踪用户。我可以得到确认吗?在 REST 调用的情况下是否可以生成 token 传回客户端?

最佳答案

Spring SAML 依赖于 Spring Security 来处理用户的身份验证状态。默认情况下,用户状态存储在 SecurityContextAuthentication 对象中,这些对象被放入用户的 HTTP session (由传递给浏览器的安全 cookie 通常是 JSESSIONID 标识)。您将能够在 Spring Security 文档中找到与此相关的所有详细信息。

如果您的用户从她进行身份验证的浏览器调用 REST API,并且该 API 与 Spring Security 应用程序一起部署,该调用将提供与普通服务器调用相同的 cookie,并且它们将使用以下方式进行身份验证不需要任何 token 的相同机制。

如果您想在尚未建立 session 或使用其他方式进行身份验证的情况下执行对第 3 方 REST API 的调用,一种保护此类场景的方法是例如发行和使用 OAuth 2.0 Bearer token 。

关于spring-security - Spring Security SAML扩展如何处理认证后的后续请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29704363/

33 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com