我正在使用Angular(前端)和JAVA(后端)构建的Web应用程序。
Web应用程序启用了Spring安全性,入口点为OAuth。
我正在编写一个自定义的spring安全过滤器,该过滤器将在oAuth过滤器之前触发。在此过滤器中,我可以以编程方式请求oAuth令牌。获得此令牌后,如何将其添加到请求中,因此以后,它将成功通过oAuth过滤器。
从安全/设计的角度来看,这是一种好方法吗?
需要编写自定义过滤器:除了oAuth,我还希望支持SAML进行身份验证。如果请求与SAML cookie一起发送到Web应用程序,那么我将使用SAML cookie中的用户。但是,由于此Web应用程序已针对所有后续请求检查了oAuth令牌,因此我正在考虑通过SAML cookie成功进行身份验证后以编程方式请求该令牌。稍后,我将此令牌添加到请求中,以便应用程序以与以前相同的方式工作。