wso2 spring security saml 无状态集成
Posted
技术标签:
【中文标题】wso2 spring security saml 无状态集成【英文标题】:wso2 spring security saml stateless integration 【发布时间】:2021-12-18 20:46:48 【问题描述】:我使用 Wso2 身份服务器 5.11.0 作为 IDP,使用 Spring SAML 进行 SAML 集成。但是在认证之后,spring SAML 将 jsession-id 存储在客户端浏览器中,使用该浏览器进行进一步的通信。那么,我们如何才能使集成无状态,而不是将会话存储在服务提供(spring security)中。
【问题讨论】:
【参考方案1】:我假设您试图避免在客户端创建会话 cookie。
如果您需要对用户进行身份验证,几乎不可能使用无状态 Web 应用程序。
如果您不打算在客户端跟踪用户的会话,则必须每次都与身份提供者交谈,以确保用户经过身份验证,这会使用户体验变差。
另一种选择是将用户会话 ID 附加到从浏览器发出的每个请求中,因此用户会话将由该请求参数而不是会话 cookie 来标识。
对于单页应用程序,后端可以是无状态的。尽管如此,UI 仍在浏览器上保持会话。
【讨论】:
以上是关于wso2 spring security saml 无状态集成的主要内容,如果未能解决你的问题,请参考以下文章
Spring SAML 与 WSO2 身份服务器集成,无法识别 SAML 消息