Dezorientuję się z wygaśnięciem asercji SAML w związku z wygaśnięciem sesji aplikacji.Spring Security Wygaśnięcie potwierdzenia SAML z wygaśnięciem sesji aplikacji
W prostych słowach, gdy mamy wdrożoną aplikację w kontenerze, tworzona jest sesja. Ta sesja wygaśnięcie może być kontrolowany przy użyciu poniższego wpisu w web.xml
<session-config>
<session-timeout>60</session-timeout>
</session-config>
Idąc dalej, kiedy mam Wiosna Security z rozszerzeniem SAML, oczywiście dotyczy to samo pojęcie sesji. (Wdrażam aplikację w WildFly 8.2, jeśli to ma znaczenie)
Co więcej, po wygaśnięciu sesji aplikacji zachowanie się wylogowanego wydaje się być równoważne z koncepcją lokalnego wylogowania.
Jak dotąd tak dobrze. Teraz powiedzmy, że asercja SAML jest dobra przez 2 godziny, a użytkownik aktywnie pracuje przez 2 godziny. Co powinno stać się z późniejszym wnioskiem? Czy powinien ponownie zalogować się do IDP? Ale czy nie byłoby to niewygodne dla użytkownika? Jeśli aplikacja przekierowuje do IDP w celu ponownego zalogowania po 2 godzinach wygaśnięcia potwierdzenia, w jaki sposób należy przetwarzać żądania AJAX?
To w nawiązaniu do the question here