Okta會自動在瀏覽器級別設置會話cookie嗎? 遵循此http://developer.okta.com/docs/examples/session_cookie指南來調用OKTA會話。我能夠看到一次性令牌並通過添加一次性令牌形成第二個請求的重定向URL,並且在我被重定向到登錄頁面後,無法在響應中看到Set-Cookie標題。我錯過了一步嗎?此外,我的應用程序已啓用SAML它如何適用於SAML斷言?任何人都可以使用示例示例或遵循步驟進行指導。Okta會自動在瀏覽器級別創建會話cookie嗎?
是的。在大多數情況下,Okta會在瀏覽器中爲Okta設置會話cookie 。
例如,如果您使用名爲「example.okta.com」的Okta組織進行身份驗證,則會在用戶的瀏覽器中設置「example.okta.com」的Cookie。如果您使用OpenID Connect(應用程序嵌入鏈接)或端點(已棄用)/login/sessionCookieRedirect端點進行身份驗證,則會發生此情況。但是,直接撥打/sessions端點的呼叫不會設置會話Cookie。
注意:雖然會話cookie在這些場景設置爲,該cookie將不是第三方應用程序訪問。在第三方應用程序中安全驗證Okta登錄的最佳方式是實施OpenID Connect或SAML,並在驗證OpenID Connect id_token或SAML斷言後設置您自己的會話cookie。安全驗證Okta登錄的另一種方式但不太靈活的方式是讓您的後端調用Okta的/sessions API端點,然後在成功調用/sessions端點時設置會話Cookie。
當你問SAML斷言如何工作時,你可以更具體嗎? – soitof