我正在創建一個Spring Boot Web應用程序,它將充當我的用戶的登錄網站。通過REST API在幕後,它使用OpenAM驗證憑證並創建會話令牌。我期望該令牌將用於管理此登錄網站以及我們爲用戶提供的所有其他網站(單點登錄)的會話。春季安全自定義登錄網站與第三方會話Cookie
我想SpringBoot應用程序是無狀態的。這使得部署更容易。雖然該網站應該是無國籍的,但顯然我們仍然保持OpenAM的會話狀態。
我在如何配置Spring安全性以使cookie代表Spring安全認可的有效會話而苦苦掙扎。當我使應用程序成爲無狀態時,它會導致各種CSRF保護問題,因爲它認爲我們正在使用cookie中的每個有OpenAM會話標記的請求重新進行身份驗證,並創建一個新的CSRF標頭(以防止會話受到保護固定)。
我對我的身份驗證類型使用PreAuthenticationToken。我應該使用RembemberMeAuthenticationToken嗎?我是否需要引入新的SessionAuthenticationStrategy?理想情況下,只有實際的登錄POST使Spring Security認爲創建了新會話。對於所有具有會話cookie的後續請求,它應該像通過身份驗證一樣讓它通過。 (我將在每次請求時用OpenAM驗證令牌)
想法? Andrew