我有两个使用Spring Security SAML扩展保护的Spring Boot应用程序。这两个应用程序已在运行。第一个(web-ui-app)是第二个用户界面(services-app),一个REST API。
成功访问由身份提供商正确验证的web-ui-app后,我尝试访问某些服务应用程序的方法。
但是,我没有收到来自services-app,JSON响应的正确响应,而是收到类似这样的内容:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<body onload="document.forms[0].submit()">
<noscript>
<p>
<strong>Note:</strong> Since your browser does not support JavaScript, you must press the Continue button once to proceed.
</p>
</noscript>
<form action="https://ServiceProvider.com/SAML/SLO/Browser" method="post">
<div>
<input type="hidden" name="RelayState" value="0043bfc1bc45110dae17004005b13a2b"/>
<input type="hidden" name="SAMLRequest" value="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"/>
</div>
<noscript>
<div>
<input type="submit" value="Continue"/>
</div>
</noscript>
</form>
</body>
</html>
这是一次SSO对话。它不是因为我已经通过web-ui-app登录而不是服务应用程序和服务提供商之间的透明密钥交换吗?
我错过了什么?
答案 0 :(得分:2)
SAML可用于使用rest API保护单个应用程序,但是,具有不共享应用程序或会话上下文的单独前端和后端不起作用。例如,如果您将单个应用程序的前端打包并将其配置为单个服务提供程序,则该会话将对后端API请求有效。
话虽这么说,如果你将前端配置为服务提供者,你可以像你提到的那样为REST API使用基于无状态令牌的安全性。这种架构是首选,因为它比会话更好。任何请求都应该能够转到REST API的任何实例并进行处理,因此您可以添加或删除API实例以根据需要扩展应用程序。
JSON Web Tokens (JWT)是一个不错的选择,因为它允许您在令牌中的自定义声明中存储有关用户的一些信息。如果其余API的所有实例都使用相同的共享密钥签署令牌,则任何请求都可以转到任何实例,并且该实例将能够解码令牌并获取声明信息(例如用户ID),而无需存储它在内存缓存或数据库中。