私は、Spring Samlソリューションを使用して、tomcatで動作する残りのAPIを保護しています。ログイン1回Spring SAML CRSF
私はspring-security-saml2-core 1.0.2.RELEASEをSpringセキュリティ4.1.1.RELEASEとともに使用しています。
私はOneloginテストコネクタ/アプリケーションを作成しました。 http://localhost:8080/app-name/api/getstateにアクセスしようとすると、正しくOneloginにリダイレクトされ、認証できます。その後、http://localhost:8080/app-name/saml/SSO/alias/defaultAliasにリダイレクトされます。
問題::「セッションが見つからなかったため、提供されたCSRFトークンを確認できませんでした」リダイレクト後
これは、Spring SAML Extension and Spring Security CSRF Protection Conflictのとおりです。
VladimírSchäferが提供するソリューションは、SAMLエンドポイントのsecurityContextでCSRFを無効にする必要があることを示しています。
これは私が一般的なセキュリティと春のセキュリティを春に新しいですと、私は関連クエリを持っていますが、動作します:
が、それはこのシナリオでのREST APIにCSRFをオフにする安全な/最高praciticeですSpring SAML URLの場合
CSRFがスプリングセキュリティで有効になっている場合、OneloginがSpring Samlと連携する方法はありますか?
ありがとうございました.. – theforemen