我想实现SAML以验证用户和OAuth,以保护我开发的API资源。从一堆读数我相信SAML持有人断言工作流程是我正在寻找的。 (如果错误或任何其他替代方案,请更正我)
根据我的理解,Spring不支持SAML承载声明用于受保护资源访问的OAuth授权代码授权类型。
我尝试在OAuth客户端配置Spring SAML SP,但同时请求令牌OAuth服务器请求进行身份验证。因此,作为一种解决方法,我正在考虑实现类似于Spring文档上的SiteMinder的预身份验证方案,仅用于授权。 这是一种正确的方法吗? (直到Spring发布RFC 7522时)