我们有一些REST-ful Web服务,它们一直使用HTTP基本身份验证来验证客户端。我们正致力于使用Jasig CAS单点登录服务部署单点登录。 CAS使用的SSO握手要求未经身份验证的客户端通过302重定向重定向到CAS登录。
不幸的是,HTTP Basic Auth需要对未经身份验证的请求进行401响应,因此我们遇到一个冲突,其中Basic Auth需要401响应而CAS需要302响应。有没有办法解决CAS的这个问题,仍然支持基本身份验证?
答案 0 :(得分:1)
使用无状态REST服务的正确方法是使用CAS的代理身份验证。 REST服务在请求中查找票证查询参数,并将其验证为代理票证。由于REST服务通常不具有会话,因此您通常必须实施存储机制以接受多个请求的相同代理票证,而无需多次使用CAS验证(如果您尝试多次验证,则可能会被拒绝)按CAS,取决于您在CAS中为每张票证配置的验证数量)。如果缺少故障单查询参数,则返回401 Missing Auth响应,并且永远不会返回302重定向。此方法可以与基本身份验证共存。