Okta 会自动在浏览器级别设置会话 cookie 吗?
我正在按照http://developer.okta.com/docs/examples/session_cookie 指南调用 OKTA 会话。通过添加一次性令牌,我能够看到一次性令牌并形成第二个请求的重定向 URL,但在重定向到登录页面后,我无法在响应中看到 Set-Cookie 标头。我错过了一步吗?此外,我的应用程序已启用 SAML,它如何适用于 SAML 断言?任何人都可以通过示例示例或要遵循的步骤来指导。
【问题讨论】:
是的。在大多数情况下,Okta 会在浏览器中为 Okta 设置会话 cookie。
例如,如果您针对名为“example.okta.com”的 Okta 组织进行身份验证,则会在用户浏览器中设置“example.okta.com”的 cookie。如果您使用 OpenID Connect、应用程序嵌入链接或 (deprecated) /login/sessionCookieRedirect 端点进行身份验证,则会发生这种情况。但是,直接调用 /sessions 端点不会设置会话 cookie。
注意:即使在这些场景中为 Okta 设置了会话 cookie,第三方应用程序无法访问该 cookie .在第 3 方应用程序中安全验证 Okta 登录的最佳方法是实施 OpenID Connect 或 SAML,并在验证 OpenID Connect id_token 或 SAML 断言后设置您自己的会话 cookie。安全验证 Okta 登录的另一种但不太灵活的方法是让您的后端调用 Okta 的 /sessions API 端点,然后在成功调用 /sessions 端点时设置会话 cookie。
【讨论】: