问题描述
我有一个Web应用程序,其作用类似于OAuth客户端,以便从PingFederate(在此充当CAS + IDP)获取访问令牌。 Web应用程序会话由附加在与Web应用程序关联的URL中的JSESSION ID管理。 登录后,我们的Web应用程序启动了身份验证代码授予流程(Spring Security过滤器),以获取已验证用户的访问令牌。在从PingFederate进行重定向时,没有JSESSIONID附加到重定向URL(因为PingFed在这里不了解JSESSIONId)。这将导致Web应用程序上的重定向uri启动新会话。
我不希望Web应用程序重定向uri来生成新的Tomcat会话。在建筑上,这里似乎有些臭味。我想检查一下避免产生新会话的可能解决方案。
如果需要,我可以共享代码。请问。
谢谢!
解决方法
当您的客户端应用程序将其OAuth授权请求发送到PingFederate时,您可以包含一个redirect_uri查询字符串参数,以告诉它如何重定向回您的应用程序。如果您可以在该值中包含JSESSIONID,则PingFederate会将其包含在重定向中。
鉴于JSESSIONID的值是动态的,您可能需要在PingFederate管理控制台的客户端上配置的重定向URI 中包含通配符(*)。
有关更多详细信息,请参见:
- https://docs.pingidentity.com/bundle/pingfederate-101/page/lzn1564003025072.html(
redirect_uri参数) - https://docs.pingidentity.com/bundle/pingfederate-101/page/roj1564002966901.html(重定向URI 可在PingFederate管理中的客户端上配置)
假设您正在实施三足式OAuth流程,请确保您的体系结构在此处明确定义了三个参与方-a)资源所有者,b)使用者和c)服务提供者。 Here is the diagram说明了三足式OAuth流。对于Redirect URL in OAuth flow read here。验证码授予为here with examples。