Okta会自动在浏览器级别设置会话cookie吗?
我遵循这个http://developer.okta.com/docs/examples/session_cookie指南来调用OKTA会话。通过添加一次性令牌,我能够看到一次性令牌并形成第二个请求的重定向URL,并且在重定向到着陆页后,无法在响应中看到Set-Cookie标头。我错过了一步吗?此外,我的应用程序已启用SAML,它如何适用于SAML断言?任何人都可以通过示例示例或步骤来指导。
答案 0 :(得分:0)
是。在大多数情况下,Okta将在浏览器中为Okta 设置会话cookie 。
例如,如果您要对名为“example.okta.com”的Okta组织进行身份验证,则会在用户的浏览器中设置“example.okta.com”的cookie。如果您使用OpenID Connect,应用程序嵌入链接或(已弃用的)/login/sessionCookieRedirect端点进行身份验证,则会发生这种情况。但是,直接调用/sessions端点的调用不会设置会话cookie。
注意:即使在这些情况下会话cookie设置为 for Okta ,该第三方应用程序也无法访问 。在第三方应用程序中安全验证Okta登录的最佳方法是在验证OpenID Connect id_token或SAML断言后实施OpenID Connect或SAML并设置您自己的会话cookie。安全验证Okta登录的另一种但不太灵活的方法是让您的后端调用Okta的/sessions API端点,然后在成功调用/sessions端点时设置会话cookie。