У меня есть серверная часть служб REST без сохранения состояния, написанная на Java Spring Boot.
1. Одна из служб — «/Login». Он получает имя пользователя и пароль из моей собственной веб-формы (а не формы, созданной Shibboleth). В этом вызове службы я хочу связаться с Шибболетом (используя OAuth2, SAML или что-то еще), чтобы аутентифицировать этого пользователя и получить токен. Это следует делать синхронно, поскольку служба должна возвращать вызывающему объекту «истину» или «ложь». Перенаправление не допускается: либо true, либо false.
2. Этот токен будет включен в ответ, отправленный обратно во внешний интерфейс, и будет сохранен во внешнем интерфейсе. Он будет повторно отправлен обратно на серверную часть при следующих вызовах других служб REST (кроме /Login). Эти другие вызовы должны связаться с Шибболетом, отправив ему токен. Shibboleth должен вернуть информацию о пользователе или ошибку, если токен неверен.
Как реализовать пункты 1- и 2- вручную, т.е. без использования Spring Security? Только Java и, возможно, другие сторонние библиотеки.
Источник: https://stackoverflow.com/questions/781 ... shibboleth