我目前正在处理一个使用无状态会话和基于JWT的身份验证和授权机制的 Spring 应用程序。
一个新的需求来了:使用 CAS v4.0 SSO 解决方案来替代认证系统。我浏览了CAS 文档和spring 安全文档,并没有看到“无状态模式”的迹象。尝试将 spring 安全会话策略设置为无状态会破坏我的 CAS 集成。
我的直觉会告诉我完全放弃 JWT 机制并打开经典的基于 statefull 的 sessionid 模式以避免问题。是否有一些资源试图解决 CAS + 无状态客户端?有人有经验吗?