Bonjour J'ai le cas suivant. Application JavaScript basée sur Ajax, agent OpenAM et OpenAM et JBoss avec les services web Java REST. Si je comprends bien la documentation OpenAM, l'Agent Web OpenAM fonctionne comme médiateur entre la partie serveur Web et l'OpenAM. Ma compréhension est que pour les services simples comme la connexion, la déconnexion, l'état de connexion vérifiée, il devrait suffire d'utiliser OpenAM apis et l'agent OpenAM. Par exemple, c'est l'agent qui prend soin du jeton et nous redirige vers la page de connexion et revient à la page d'origine à laquelle Access a été demandé.Vérification de l'état de session de l'utilisateur connecté OpenAM
Le jeton est conservé dans un cookie HTTPOnly qui le rend inaccessible.
En même temps, le coockie est accessible à partir du serveur JBoss, donc théoriquement je peux mettre en œuvre des services qui valident le jeton contre OpenAM. Aussi le service de déconnexion. Ma compréhension est qu'une telle implémentation serait un hack car en premier lieu nous ne sommes pas supposés finir sur le serveur JBoss si la session est invalide. Ce devrait être l'agent qui devrait effectuer cette vérification pour nous.
Ma question est de savoir comment vérifier l'état de connexion lorsque je n'ai pas accès au token depuis le navigateur (cookie HTTPOnly) sans faire un aller-retour vers le serveur JBoss uniquement pour avoir accès au cookie. Aussi comment implémenter Logout sans impliquer le serveur JBoss à nouveau.