Я пытаюсь разработать аутентификацию SAML2.0 для REST API, используя шлюз. REST используется между моим бэкэндом и моим приложением. Я использую фильтр сервлетов Java и Spring.

Я вижу две возможности:

Добавление токенов SAML в заголовок каждый раз.

Выполните аутентификацию один раз с помощью SAML, затем с помощью сеанса или аналогичного (безопасного разговора) между клиентом и шлюзом.

Дело 1: Это хорошее решение, потому что мы все еще RESTful, но:

Жетоны SAML довольно большие. Это может вызвать проблемы из-за большого размера заголовка.Воспроизведение токенов - не лучший способ для безопасности.

Случай 2: Это больше не состояние, и мне нужно установить связь с клиентом. Поскольку я использую шлюз, базовые службы все еще могут быть RESTful.

Случай 2 ищет лучший выбор, несмотря на то, что он не соответствует остальным ограничениям.

Кто-то уже должен был сделать это и дать мне несколько советов (для разработки или реализации)?

Есть ли лучший способ сделать это с SAML?

Любая помощь или совет приветствуются.