ステートレスセッション

Question

、 https://github.com/vdenotaris/spring-boot-security-saml-sample

私はそれを実行し、アイデンティティプロバイダと統合することができています。

しかし、私はセッションが毎回作成されていることを確認し、ユーザーのサインが出るまで残っています。

私はスプリングブートでリソースベースのサービスを使用しているので、セッションのオーバーヘッドを望んでいません。

I（）は .sessionCreationPolicy（SessionCreationPolicy.STATELESS） http.sessionManagement、configureメソッドに以下の行を追加しようとしました。

しかし、この設定では、常にIDプロバイダにログインするように求められています。

私がログインすると、再びログインするようにページに戻ってきます。

セッションを無効にするときに正しい動作であるかどうかはわかりません。

春のセキュリティsaml拡張とサービスプロバイダアプリケーションでステートレスセッションを使用する正しい方法を誰にでも教えてもらえますか？

おかげで、

スリ

Answer 1

あなたは2つのオプション持っているので、あなたは、SAML認証部分の確認のためのセッションを必要とする：

1）を使用するには、アプリケーション、1を2つの異なるセキュリティコンテキストを持っていますSAML認証のためのものと、あなたのステートレスなサービスのためのものです。あなたのサービスをどのように認証するのかはわかりませんが、ステートレスであるためにはある種のトークン認証が必要です。 を定義し、configure(HttpSecurity http)メソッドを上書きすることができます。次に、saml configにはhttp.requestMatchers("/saml/**")、サービス設定にはhttp.requestMatchers("/service/**")を使用してください。/samlのすべてがsaml authを通過し、/serviceのすべてがあなたの持っているものを通過します。

2）SAML設定（samlフィルタの前）にフィルタを追加して、別の種類のauth（トークンベース）とこのフィルタが生成できる範囲で動作するようにします有効なAuthenticationがsamlフィルタの前に有効である必要があります。

このライブラリをチェックアウトすると、https://github.com/ulisesbocchio/spring-boot-security-samlがSAML設定を簡略化します