私は、ユーザのログインサイトとして動作するSpringブートWebアプリケーションを作成しています。 REST APIの裏側では、OpenAMを使用して資格情報を検証し、セッショントークンを作成しています。トークンは、このログインサイトとユーザーに提供する他のすべてのサイト(シングルサインオン)のセッションを管理するために使用されることが期待されます。サードパーティのセッションクッキーを使用したSpringセキュリティカスタムログインサイト
私はSpringBootアプリケーションをステートレスにしたいと考えています。これにより、展開がずっと簡単になります。サイトはステートレスでなければなりませんが、明らかにOpenAMでセッション状態を維持しています。
私は、Spring Securityが認識する有効なセッションをクッキーが表すことができるようにSpring Securityを設定する方法に苦労しています。アプリケーションをステートレスにすると、OpenFrameセッショントークンがCookieに含まれているすべてのリクエストで再認証され、新しいCSRFヘッダーが作成される(セッションから保護される)と考えられるため、CSRF保護に関するあらゆる問題が発生します。固定)。
私は認証タイプとしてPreAuthenticationTokenを使用しています。私はRembemberMeAuthenticationTokenを使用すべきですか?新しいSessionAuthenticationStrategyを導入する必要がありますか?理想的には、実際のログインPOSTだけが、新しいセッションが作成されたとSpring Securityに認識させます。セッションCookieを持つ後続のすべてのリクエストについては、認証されたように処理されます。 (私はすべての要求とOpenAMのトークンを検証する予定です)
思考? Andrew