Я путаюсь с истечением срока действия утверждения SAML и истечением срока действия сеанса приложения.
Проще говоря, когда у нас есть приложение, развернутое в контейнере, создается сеанс. Срок действия этого сеанса можно контролировать с помощью приведенной ниже записи в файле web.xml.
<session-config>
<session-timeout>60</session-timeout>
</session-config>
Двигаясь дальше, когда у меня есть Spring Security с расширением SAML, очевидно, применяется та же концепция сеанса. (Я развертываю приложение в WildFly 8.2, если это имеет значение)
Кроме того, когда сеанс приложения истекает, поведение выхода из системы похоже на концепцию локального выхода.
Все идет нормально. Теперь предположим, что утверждение SAML верно в течение 2 часов, и пользователь активно работает в течение 2 часов. Что тогда должно произойти с последующим запросом? Должен ли он повторно войти в IDP? Но не будет ли это неудобно для пользователя? Если приложение перенаправляется на IDP для повторного входа через 2 часа после истечения срока действия подтверждения, как следует обрабатывать запросы AJAX?
Это относится к вопросу здесь