Аутентификация REST API с помощью SAML
Я пытаюсь разработать аутентификацию SAML2.0 для REST API, используя шлюз. REST используется между моим бэкэндом и моим приложением. Я использую фильтр сервлетов Java и Spring.
Я вижу две возможности:
Добавление токенов SAML в заголовок каждый раз.
Выполните аутентификацию один раз с помощью SAML, затем с помощью сеанса или аналогичного (безопасного разговора) между клиентом и шлюзом.
Дело 1: Это хорошее решение, потому что мы все еще RESTful, но:
Жетоны SAML довольно большие. Это может вызвать проблемы из-за большого размера заголовка.Воспроизведение токенов - не лучший способ для безопасности.Случай 2: Это больше не состояние, и мне нужно установить связь с клиентом. Поскольку я использую шлюз, базовые службы все еще могут быть RESTful.
Случай 2 ищет лучший выбор, несмотря на то, что он не соответствует остальным ограничениям.
Кто-то уже должен был сделать это и дать мне несколько советов (для разработки или реализации)?
Есть ли лучший способ сделать это с SAML?
Любая помощь или совет приветствуются.