Hallo, ich habe den folgenden Fall. Ajax basierte Javascript Applikation, OpenAM Agent und OpenAM und JBoss Mit REST Java Web Services.Überprüfen Sie den angemeldeten Benutzersitzungsstatus OpenAM
Wenn ich die OpenAM-Dokumentation richtig verstehe, fungiert der OpenAM Web Agent als Vermittler zwischen dem Webserver-Teil und dem OpenAM. Meines Erachtens ist es für einfache Dienste wie Login, Logout, eingeloggten Login-Status ausreichend, OpenAM apis und den OpenAM-Agenten zu verwenden. Ein Beispiel dafür ist der Agent, der sich um das Token kümmert und uns zur Anmeldeseite und zurück zur ursprünglichen Seite umleitet, auf die Access angefordert wurde.
Das Token wird in einem HTTPOnly-Cookie gespeichert, wodurch es nicht zugänglich ist.
Gleichzeitig ist die Coockie vom JBoss-Server aus zugänglich, daher kann ich theoretisch Dienste implementieren, die das Token gegen OpenAM validieren. Auch Abmeldeservice. Mein Verständnis ist, dass eine solche Implementierung ein Hack wäre, weil wir nicht auf dem JBoss-Server landen sollten, wenn die Sitzung ungültig ist. Es sollte der Agent sein, der diese Prüfung für uns durchführen soll.
Meine Frage ist, wie ich den angemeldeten Status überprüfen kann, wenn ich keinen Zugriff auf das Token über den Browser (HTTPOnly-Cookie) habe, ohne einen Roundtrip zum JBoss-Server durchzuführen, um Zugriff auf den Cookie zu erhalten. Auch, wie Sie Logout implementieren, ohne den JBoss-Server erneut zu involvieren.