miyabi02
commented
2 years ago セッションIDの差異が認証済みチェックに影響することを確認。
検証方法
Expressサーバに用意したViewにてログイン済みのユーザ名を表示する仕組みとする。 curlコマンド(疑似的なRest API)を用いて、セッションIDをHTTPヘッダに設定しHTTP GETを行う。 応答結果をチェックする。
SAML認証後のExpressトップページ
認証済みのユーザ名表示あり
検証1
Expressサーバから応答され、ローカルストレージに保存したセッションIDでGET通信
認証済みのユーザ名表示なし
検証2
cookieに保存されているセッションIDでGET通信
認証済みのユーザ名表示あり
cookieに設定されるセッションIDとExpressサーバから応答されるセッションIDに形式の差異が存在ある。
ローカルストレージに保存したExpressサーバより応答されるセッションID
cookieに設定されるセッションID(ピリオド&付加情報あり)
Expressサーバで取得したセッションID