Staram się zaprojektować uwierzytelnianie SAML2.0 dla interfejsu API REST przy użyciu bramy. REST jest używany między moim backendem a moją aplikacją. Używam filtru Java Servlet i Springa.

Widzę dwie możliwości:

Dodawanie tokenów SAML do nagłówka za każdym razem.

Uwierzytelnij raz za pomocą SAML, a następnie użyj sesji lub podobnej (bezpiecznej rozmowy) między klientem a bramą.

Przypadek 1: To dobre rozwiązanie, ponieważ wciąż jesteśmy RESTful, ale:

Tokeny SAML są dość duże. Może to spowodować problem z powodu dużego rozmiaru nagłówka.Odtwarzanie tokenów nie jest najlepszym sposobem na bezpieczeństwo.

Przypadek 2: To już nie jest bezpaństwowiec i muszę zarządzać łączem z klientem. Ponieważ używam bramy, podstawowe usługi mogą być nadal RESTful.

Przypadek 2 szuka lepszego wyboru, mimo że nie podąża za ograniczeniami reszty.

Czy ktoś już musiał to zrobić i dać mi kilka wskazówek (dotyczących projektu lub implementacji)?

Czy jest lepszy sposób na zrobienie tego z SAML?

Każda pomoc lub rada są mile widziane.