我们计划使用AJAX(CORS / XHR)从弹出窗口使用SAML2身份验证调用API,并通过Response Header在API中检索SAML属性。使用(身份提供者 - 服务提供者)联合SSO,其中用户界面托管在IDP环境中,而API托管在SP环境中。由于相同起源政策的限制,我们看到有两种选择: -
方法1 :通过在Java API中启用ORIGIN(在SP环境中托管)来允许用户界面(在IDP环境中托管)进行AJAX调用(XMLHttpRequest XHR)来获取CORS路由。我们需要使用AJAX CAll从UI执行GET和POST操作。
方法2 :通过从用户界面(在IDP环境中托管)调用Java API(在SP环境中托管)来进行JSOP路由以进行AJAX调用(XMLHttpRequest XHR)。
我们需要知道Ajax是否可用于调用基于SAML2的API调用(IDP / SP发起的调用)。请分享您使用启用了CORS的AJAX通过API调用SAML2的任何经验。