Saya memiliki satu set layanan web RESTful. Layanan ini dilindungi di server Glassfish oleh OpenSSO. Saat saya mencoba memanggil layanan RESTful langsung dari browser, OpenSSO mencegat permintaan tersebut, lalu meneruskan permintaan tersebut ke layanan REST setelah kredensial pengguna diautentikasi. OpenSSO menggunakan cookie sesi pada permintaan berikutnya (hingga sesi tersebut tidak valid). Saya yakin bagian ini berfungsi dengan benar.
Kami ingin memanggil layanan ini dari klien Flex. Untuk mengaktifkan operasi PUT dan DELETE, kami menyiapkan BlazeDS untuk mem-proxy permintaan RESTful dari klien fleksibel ke layanan REST. Ketika keamanan layanan RESTful dinonaktifkan, bagian ini berfungsi dengan baik.
Sekarang kami mencoba mengamankan seluruh aplikasi. Kami telah menempatkan Flex SWF ke dalam perang dan menyebarkannya ke Glassfish. Kami telah menempatkan keamanan di sekitar sumber daya ini dan ketika pengguna mencoba mengunduh SWF (melalui tautan HTML dalam perang), OpenSSO mencegat permintaan tersebut, lalu meneruskannya ke aplikasi jika otorisasi berhasil (seperti yang terjadi pada layanan web RESTful ).
Masalahnya adalah - panggilan RESTful yang dilakukan oleh aplikasi Flex (melalui BlazeDS) gagal. OpenSSO tampaknya juga mencegat permintaan ini dan sekali lagi meminta kredensial pengguna. Tampaknya cookie autentikasi tidak diteruskan ke (atau mungkin oleh) proksi BlazeDS.
Bagaimana saya bisa mengakses cookie yang dikembalikan oleh permintaan otorisasi SSO asli dan meminta BlazeDS meneruskannya ke layanan web RESTful?
