【发布时间】:2016-04-26 16:41:36
【问题描述】:
当我们使用 SAML2 SSO 身份验证时,我正在尝试从服务提供商调用 WSO2 IS Web 服务(即:getUserProfile),但我获得了未经授权的访问权限。
在初始身份验证后,我们是否获得任何可用于调用 Web 服务的令牌,而无需传递凭据或 cookie??
【问题讨论】:
-
如果您可以提供日志或错误消息作为响应,我们可以为您提供更好的答案。
当我们使用 SAML2 SSO 身份验证时,我正在尝试从服务提供商调用 WSO2 IS Web 服务(即:getUserProfile),但我获得了未经授权的访问权限。
在初始身份验证后,我们是否获得任何可用于调用 Web 服务的令牌,而无需传递凭据或 cookie??
【问题讨论】:
这可能是权限问题。确保您已启用特定用户的登录权限。
使用常见类型的安全协议(例如 HTTP 基本身份验证、WS-Security username token 和 session based authentication)保护管理服务。
【讨论】:
您可以使用 SAML2SSOAuthenticationService。 请参考样本How to get a session cookie from a webapp which uses SAML SSO
【讨论】: