目前我们正在使用wso2 IS 4.1.0版本,授权服务用于策略决策 . 由于授权服务是一种安全服务,我们会对cookie进行身份验证并获取cookie,然后将cookie与权利服务请求一起传递 . 我们正在使用jsessionid cookie并遇到一种情况,如果wso2发生故障,我们必须重启我们的应用程序,因为它有一个过时的cookie我们每隔15分钟刷一次cookie . 如果重新启动,wso2中是否有一种方法可以保留cookie . 我们尝试评论内部wso2is-4.1.0 \ repository \ conf \ tomcat \ carbon \ META-INF . 你能否建议我们如何在wso2is中配置jsessionid cookie的持久性
谢谢基肖尔
1 回答
用户会话(jsessionid)不会在服务器端持久存在 . 所以你可以在15分钟后重新认证并获得一个新的jsessionid . (如果您收到身份验证失败,则可以重新进行身份验证) . 你需要以这种方式实施PEP .
如果您使用基本身份验证通过授权服务进行身份验证 . 您可以发送cookie(jsessionid)和基本身份验证头...如果cookie有效,它将使用cookie进行身份验证,如果不使用基本身份验证头并将新cookie返回给客户端 . 你可以在这里找到一些java代码..但这不是授权服务,但你可以使用....
[1] https://github.com/soasecurity/soasecurity/blob/master/user-mgt/client/remote-user-400/src/main/java/org/soa/security/sample/user/mgt/SampleUserRoleMgtClient.java