Okta 会自动在浏览器级别设置会话 cookie 吗?我正在按照这个http://developer.okta.com/docs/examples/session_cookie指南调用 OKTA 会话。通过添加一次性令牌,我能够看到一次性令牌并形成第二个请求的重定向 URL,并且Set-Cookie在我被重定向到登录页面后无法在响应中看到标头。我错过了一步吗?此外,我的应用程序已启用 SAML,它如何用于 SAML 断言?任何人都可以通过示例示例或要遵循的步骤进行指导。
问问题
3422 次
1 回答
0
是的。在大多数情况下,Okta 会在浏览器中为 Okta设置会话 cookie 。
例如,如果您针对名为“example.okta.com”的 Okta 组织进行身份验证,则会在用户的浏览器中设置“example.okta.com”的 cookie。如果您使用 OpenID Connect、应用程序嵌入链接或(已弃用)/login/sessionCookieRedirect端点进行身份验证,则会发生这种情况。但是,直接对/sessions端点进行的调用不会设置会话 cookie。
注意:即使在这些情况下为 Okta设置了会话 cookie,第三方应用程序也无法访问该 cookie。在第 3 方应用程序中安全验证 Okta 登录的最佳方法是实施 OpenID Connect 或 SAML,并在验证 OpenID Connectid_token或 SAML 断言后设置您自己的会话 cookie。安全验证 Okta 登录的另一种但不太灵活的方法是让后端调用 Okta 的/sessionsAPI 端点,然后在成功调用端点时设置会话 cookie /sessions。
于 2016-10-19T00:59:03.570 回答