Situation: J'ai un frontend Javascript «stupide» qui peut contacter un type de middleware SSO (MW). Le MW peut obtenir des sessions en émettant des demandes contenant des informations d'authentification (nom d'utilisateur, mot de passe). C'est à dire. la session sera créée pour un certain utilisateur.Servlet Session - passer de l'URL Rewriting au cookie
Mon interface doit "redémarrer" la session pour obtenir les autorisations de l'utilisateur sur le système cible. Pour cela, j'ai besoin d'un cookie de session valide.
Le système cible n'est pas sous mon contrôle (il pourrait s'agir d'un WFS plus ou moins public, WMS, etc.), donc je ne peux pas y ajouter de mécanisme SSO.
Question: Est-il possible de "voler" une session en forgeant une requête dont l'URL contient un ID de session valide dans le paramètre jsessionid?
Objectif: Envoyez une telle requête à un servlet et faites-lui répondre avec un en-tête Set-Cookie qui contient le même ID. De cette façon, le frontal rejoint la session et peut faire tout ce que l'utilisateur, qui a été utilisé pour créer la session, est capable de faire.
Cela dépendrait probablement entièrement du backend et de ce qu'il permet. – skaffman