从经过SAML验证的UI验证AJAX API调用

我们的申请有两个部分。

• 在Java8中编写的后端，它使用泽西2.0公开了不同的RESTendpoint。
• 使用React和其他节点模块构建的单页应用程序UI。

Web界面使用Okta支持的SAML2.0身份验证作为身份提供者。后端创建HTTP会话并在cookie中发送JSESSIONID。

现在，UI调用其余endpoint来显示数据。我们需要在RESTAPI中添加一个身份验证层，我在这里问了另外一个问题，即使用Okta对RESTendpoint和UI进行身份验证。

这里我的问题是，我可以通过什么从UI传递给这些API调用作为身份验证的手段，因为UI确实经过身份验证，HTTP会话仍然有效。因此，我不需要创建一个单独的OAuth 2.0令牌，将其传递给UI，以便UI可以将其传递回后端。OAuth2.0流对于使用RESTendpoint的外部客户机是有意义的。

更新1

这是我的securityContext的摘录。定义两种身份验证方案的xml：

<!-- Authenticating REST APIs -->
<security:http pattern="/rest/**" use-expressions="false">
    <security:intercept-url pattern="/nltools/**" access="IS_AUTHENTICATED_FULLY" />
    <security:custom-filter before="BASIC_AUTH_FILTER" ref="authValidationFilter" />
    <security:http-basic/>
</security:http>

<!-- SAML processing endpoints -->
<security:http pattern="/saml/**" entry-point-ref="samlEntryPoint">
    <security:custom-filter before="FIRST" ref="metadataGeneratorFilter" />
    <security:custom-filter before="CSRF_FILTER" ref="samlFilter" />
    <security:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter" />
</security:http>

<!-- Secured pages with SAML as entry point -->
<security:http entry-point-ref="samlEntryPoint" use-expressions="false">
    <security:csrf />
    <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_FULLY" />
    <security:custom-filter before="FIRST" ref="metadataGeneratorFilter" />
</security:http>

<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider ref="httpBasicAuthenticationProvider" />
    <!-- Register authentication manager for SAML provider -->
    <security:authentication-provider ref="samlAuthenticationProvider"/>
    <!-- Register authentication manager for administration UI --> 
    <security:authentication-provider>
        <security:user-service id="adminInterfaceService">
            <security:user name="admin" password="admin" authorities="ROLE_ADMIN"/>
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager> 

我不确定我如何执行SecurityContextPeristengFilter。我应该覆盖并为我的/rest/**模式添加其中一个过滤器吗？

更新2

下面是调用后端的JS代码（React）：

  return Promise.resolve().then(() => {
      return request.post('/rest/v1/projects')
       .send(data)
       .then((success) => {
          console.log('success!', success);
          var projectName = success.body.name;
          var projectId = success.body.id;
          
          self.props.dispatch( projectActions.addNewProject(
            projectId,
            projectName
          ));
        
          self.props.dispatch( appActions.displayGoodRequestMessage( projectName + " Saved") ); 
          self.props.dispatch( projectActions.fetchProject( projectId ) ); 
          self.props.router.push('/projects');

      }

现在JS代码可以选择发送与这个域相关的所有cookie，这样后端就可以获得JSESSION ID cookie，然而，JS没有这样做，我认为这样做是不对的。

另一方面，如果我执行https://mydomain/rest/v1/projects在浏览器中，只要我登录，我就会得到结果，因为这次当我的筛选器检查有效的HTTP会话时，它可以通过请求从请求中获取会话。getSession（false），但当JS调用API时，情况并非如此。它变成了一个完全不同的用户代理。

更新3

根据@Vladimír Schäfer的建议，我可以稍微更改上面的JS代码，以的形式发送cookies。withCredentials（）

  return Promise.resolve().then(() => {
      return request.post('/rest/v1/projects')
       .withCredentials()
       .send(data)
       .then((success) => {
          console.log('success!', success);
          var projectName = success.body.name;
          var projectId = success.body.id;
          
          self.props.dispatch( projectActions.addNewProject(
            projectId,
            projectName
          ));
        
          self.props.dispatch( appActions.displayGoodRequestMessage( projectName + " Saved") ); 
          self.props.dispatch( projectActions.fetchProject( projectId ) ); 
          self.props.router.push('/projects');

      }