状況:私はある種の SSO ミドルウェア (MW) に接続できる「ダム」な Javascript フロントエンドを持っています。MW は、認証資格情報 (ユーザー名、パスワード) を含む要求を発行することにより、セッションを取得できます。つまり、セッションは特定のユーザーに対して作成されます。
フロントエンドは、ターゲット システムに対するユーザーのアクセス許可を取得するために、セッションを「再起動」する必要があります。そのためには、有効なセッション Cookie が必要です。
ターゲット システムは私の管理下にないため (多かれ少なかれ公開されている WFS、WMS などである可能性があります)、それに SSO メカニズムを追加することはできません。
質問: URL の jsessionid パラメータに有効なセッション ID が含まれているリクエストを偽造するセッションを「盗む」ことは可能ですか?
目標: このようなリクエストをサーブレットに発行し、同じ ID を含む Set-Cookie ヘッダーで応答するようにします。そうすれば、フロントエンドはセッションに参加し、セッションの作成に使用されたユーザーが実行できることは何でも実行できます。