Uwierzytelnianie API REST z SAML
Staram się zaprojektować uwierzytelnianie SAML2.0 dla interfejsu API REST przy użyciu bramy. REST jest używany między moim backendem a moją aplikacją. Używam filtru Java Servlet i Springa.
Widzę dwie możliwości:
Dodawanie tokenów SAML do nagłówka za każdym razem.
Uwierzytelnij raz za pomocą SAML, a następnie użyj sesji lub podobnej (bezpiecznej rozmowy) między klientem a bramą.
Przypadek 1: To dobre rozwiązanie, ponieważ wciąż jesteśmy RESTful, ale:
Tokeny SAML są dość duże. Może to spowodować problem z powodu dużego rozmiaru nagłówka.Odtwarzanie tokenów nie jest najlepszym sposobem na bezpieczeństwo.Przypadek 2: To już nie jest bezpaństwowiec i muszę zarządzać łączem z klientem. Ponieważ używam bramy, podstawowe usługi mogą być nadal RESTful.
Przypadek 2 szuka lepszego wyboru, mimo że nie podąża za ograniczeniami reszty.
Czy ktoś już musiał to zrobić i dać mi kilka wskazówek (dotyczących projektu lub implementacji)?
Czy jest lepszy sposób na zrobienie tego z SAML?
Każda pomoc lub rada są mile widziane.