JSESSIONID безопасная загрузка Flag-Spring и Spring Security (SAML)

Question

JSESSIONID не был установлен флаг 'Secure' в нашем приложении весенней загрузки.Приложение поддерживает единый вход с OKTA в качестве нашего IDP, и мы используем Spring Security-SAML

Ниже приведен простой поток приложения.

Браузер -> HTTPS -> AWS-ALB -> HTTP ->Spring Boot APP -> OKTA URL (HTTPS).

Здесь прекращение SSL происходит в ALB, и с точки зрения загрузочного приложения Spring приложение находится на HTTP.

Проблема заключается в нашей безопасностиВ отчете об анализе инструмента сообщается, что JSESSIONID не имеет включенного «безопасного» флага.Когда я пытаюсь включить безопасный cookie, как показано ниже, первоначальный запрос имеет JSESSIONID как «безопасный», а после аутентификации «безопасный» флаг удаляется.

server.session.cookie.secure: true

Хотя этот поток SO предоставляет способ добавить «безопасный» флаг, я не могу связать это с завершением SSL в сценарии на стороне ALB, и поток подтверждения SAML (вызов приложения в OKTA) происходит через HTTP к HTTPS.

Любая идея, как наБезопасный флаг JessionID можно установить / сохранить?

Answer 1

Добавление server.tomcat.protocol-header=x-forwarded-proto в конфигурацию начальной загрузки, которая решила проблему.

Я неправильно понял, что флаги Cookie (безопасные, только для http) будут отображаться в заголовках запросов в инструментах разработчика Chrome, но это не такпоскольку флаги отображаются только в заголовке ответа, поскольку заголовок Set-Cookie находится только в ответе.