如何确保在OpenAM的认证链中使用相同的主体？

Question

我需要用OpenAM建立一个两步认证链。在第一步中，模块请求一个用户证书(之前必须与userID链接)，并将其发送到外部web服务，该服务将验证该证书并返回userID，这将成为主体的名称：

public Principal getPrincipal()
{
    return new DataStorePrincipal(userID);
}

在第二步中，模块要求用户输入他的userID和密码。如何确保输入的userID与步骤1中的相同？

这些模块的链结如下：

1. 证书-必需
2. ID/密码-需要

Answer 1

第一个模块可以保存共享状态映射中的'userId‘，第二个模块可以从共享状态映射中读取它。您可以查看现有的auth模块源代码，因为它们提供了对“共享状态”的支持。

你也可以看“http://docs.forgerock.org/en/openam/10.1.0/admin-guide/index.html#configure-authn-chains”