我正在尝试将我的Spring应用程序与负责用户身份验证(SAML)的政府系统集成。主要概念是“我的”应用程序正在接收已经记录的用户所谓的断言。关键是我如何定制Spring Security以在断言之前识别为用户经过身份验证的证据。或者我应该编写自己的过滤器而不是使用Spring Security?
不幸的是我无法分享代码 - 公司政策;( 任何反馈都表示赞赏。
Maciek
答案 0 :(得分:0)
如果您收到SAML断言(它很容易看到,它是一个完整的XML数据包),您绝对需要一个库来处理这种复杂性。
pac4j(Java安全引擎)支持SAML协议。因此,要么保留Spring Security并使用pac4j扩展名进行Spring Security:spring-security-pac4j,要么直接使用pac4j安全库进行Spring MVC / Boot:spring-webmvc-pac4j或者用于J2E:j2e-pac4j