Я использую расширение SAML Spring Security для моего SP. После того как пользователь аутентифицируется из IDP, SP использует какой-то метод, позволяющий последующим вызовам повторно не проверяться с помощью IDP. Как это делается в расширении SAML Spring Security?Как расширение SAML Spring Security обрабатывает последующие запросы после аутентификации?
Смежный вопрос: Authenticating mobile users against SAML IDP
В принятом ответе от выше соответствующего вопроса, SP должен создать маркер и передать его обратно клиенту для будущих запросов. Я не вижу ничего подобного при просмотре потока в Network Tool для Chrome. Что я должен искать?
Обновление 1: Я прихожу к выводу, что Spring SAML ничего не передает в браузер в виде токена. Он должен отслеживать пользователя на стороне сервера. Могу ли я получить подтверждение об этом? Возможно ли создать токен, чтобы передать клиент обратно в случае вызова REST?
После того, как проверка этого утверждения завершена, я вижу, что для этого выбраны файлы cookie: JSESSIONID и iPlanetDirectoryPro. Первый - общий куки-файл, и я мог видеть, что он используется, если Spring SAML обрабатывает все через сеанс на стороне сервера. IPlanetDirectoryPro устанавливается из IDP (OpenAM), поэтому это не Spring SAML exclusive. Предполагая, что я прав в том, что я сказал выше в обновлении 1, в конечном итоге то, что я пытаюсь выяснить, - это способ заставить Spring SAML предоставить токен для вызовов REST, чтобы каждый запрос не возвращался к ВПЛ. – AndyB