当我在 WebSphere 上注销应用程序并重新登录时,LTPA 令牌没有改变。我认为它会改变,因为会话令牌应该是不可预测的。
问问题
1863 次
2 回答
1
当您退出应用程序时,您会做什么?
您是否使 LTPA cookie 无效?
如果不是,则浏览器具有 LTPA cookie,它告诉 APp 服务器您已通过身份验证。
不要假设会话 ID 和 HTTP 会话和 LTPA 是一回事。
于 2010-08-09T04:11:19.153 回答
1
注销时,会话 cookie (JSESSIONID) 在多个产品版本上不会更改。这是因为未经身份验证的用户也可能有会话。那里没有实际问题。SSO cookie(LTPAKEY 和 LTPAKEY2)将在任何正确注销时失效。
您的应用程序也可能有问题。在这种情况下,您所拥有的是一个内置到您的系统中的自定义身份验证系统,而没有正确考虑 WebSphere Application Server 提供的机制。例如,应用程序可能应该要求真正的失效。
于 2011-02-04T18:11:57.227 回答