Собственно, существует некое клиенсткое приложение, которое умеет ходить к сервису, выдающему jwt-токен который и используется для общения в дальнейшем. Теперь мне необходимо добавить SSO-авторизацию перед выпуском JWT-токенаю Заюзал Spring SAML extension для этого и собственно меня интересует валидное ли флоу, которое можно использовать для такого кейса:
1. Веб-приложение отправляет GET-запрос на /sso/auth-endpoint
2. Анализируется SpringSecurity context и, если там anonymous user, в ответ клиенту отдается 401 ошибка
3. В результате ангулярное приложение выполянет редирект на SSO-сервер где пользователь вводит свои креденшиалы
4. Запускается длинная цепочка фильтров, куда я добавил свой
.addFilterAfter(jwtProducerFilter, BasicAuthenticationFilter::class.java)
5. Туда попадает запрос с параметрами SAMLresponse и RelayState
6. Здесь я могу добавить в response header сгенерированный токен, но проблема в том, что Spring Security генерирует тут 302-запросю В результате мой токен доходит до браузера, который не передает управлению java|script, а тут же выполняет редирект по Location-полю запроса
Собственно, вопрос - какой опыт по данному кейсу существует ? мне надо отдать клиенскому приложению jwt-токен после того, как выполнена SAML-авторизация
Простой
