问题标签 [ltpa]

考虑以下设置：

• 部署在 Websphere Application Server 上的 Web 应用程序（如果重要，则为 6.1）
• 该应用程序将通过 webseal 反向代理访问
• webseal 负责认证并传递一个 LTPA 令牌作为有效认证的标志

如果我没记错的话，LTPA 令牌包含用户名、角色等信息。

问题：如何从我的 java Web 应用程序中的 LTPA 令牌访问此信息？

我们需要将服务器与不支持 LTPA 的 WebSphere 环境集成。我发现了 Cosmin Stejerean 的使用轻量级第三方身份验证 (LTPA)和相应的代码来解码 LTPA 令牌中的信息。但是，没有解释数字签名及其生成/验证方式的代码。有人知道如何在自定义代码中生成 LTPA 令牌吗？

当我在 WebSphere 上注销应用程序并重新登录时，LTPA 令牌没有改变。我认为它会改变，因为会话令牌应该是不可预测的。

我们正在考虑从 WebSphere 迁移到 Tomcat。在 WebSphere 中，我们使用LTPA来实现不同应用程序之间的单点登录（运行在不同的物理服务器中）。

在 Tomcat 中的 2 台物理机之间进行单点登录的最佳方法是什么？

在 WebSphere 7 中使用 LTPA 基本认证时，如果密码不正确，则会抛出异常：

在 com.ibm.ws.wim.adapter.file.was.FileAdapter.login(FileAdapter.java:2009) 在 com.ibm.ws.wim.ProfileManager.loginImpl(ProfileManager.java:3338) 在 com.ibm.ws .wim.ProfileManager.genericProfileManagerMethod(ProfileManager.java:270) 在 com.ibm.ws.wim.ProfileManager.login(ProfileManager.java:374)

这是在我的部署描述符（web.xml）中启用的基本身份验证，而不是基于表单的。
问题： 有没有办法捕捉这个异常？这是在请求到达我的 servlet 之前抛出的。

谢谢阅读。

如果您将 Paros 放在浏览器和 WebSphere 中托管的 Web 应用程序之间的流量上，您将有两个会话标识符作为 HTTP 请求的 cookie 部分的一部分传递：

一个 JSESSIONID。据我所知，这是您的 HTTPSession ID。LTPA2 令牌。就 websphere 而言，这是您的“单点登录”会话。

现在，IBM 表示，当用户退出时，单个托管应用程序不能使 LTPA2 令牌无效。这背后的想法是它是一个 SSO 标识符，因此单个应用程序不应使其无效，因为它旨在跨多个应用程序使用。WAS 中没有配置声明“此环境仅托管一个应用程序，因此该应用程序可以使 LTPA2 令牌无效”。

令人担忧的是，这些 LTPA2 会话会停留一段可配置的时间。因此，如果另一个用户获得了用户的 LTPA2 令牌的句柄，他们可以使用它来访问该用户的会话，从而访问他们的敏感数据。

您可以通过强制通过 SSL 传输 cookie 以及为 cookie 指定 HTTP 来防止中间人攻击捕获会话值。但是，我仍然担心本地机器硬盘上的 cookie 可用。浏览器必须将它存储在某个地方，因此必须有一种方法可以访问它？

我的问题是，是否有人可以从硬盘驱动器中获得这样的 LTPA2 值？假设有人坐在图书馆里，登录他们的网上银行，做一些工作然后退出。下一个用户是否有可能以某种方式获得 LTPA2 令牌？

我尝试搜索我认为 FireFox 4 和 IE8 将存储 cookie 的目录，但无法匹配该值。我的直觉是，有可能在某些浏览器上找到这些数据？

我们想要构建一个前端 Web 应用程序，以使用 JAX-WS 使用 WPS 的 HumanTask API。此 Web 应用程序应该能够查询特定用户的当前任务、声明任何其他用户之前未声明的任务、完成任务等。此 Web 应用程序将部署在 WAS 7.0 上，它位于与提供 HumanTask 服务的单元不同的单元上（目前我们正在使用另一个 WPS 实例作为 WAS，但最终它将是一个没有 WPS 功能的简单 WAS）。我们通过以下步骤同步了 LTPA 生成密钥：

1. 登录一个单元格
2. 转到“安全”>“全球安全”。在“身份验证”下单击“LTPA”
3. 在“跨单元单点登录”下
   1. 建立密码
   2. 确认密码
   3. 输入将导出 LTPA 密钥的文件名
   4. 点击“导出密钥”
4. 登出
5. 将生成的文件复制到另一台服务器
6. 登录到另一个单元格
7. 转到“安全”>“全球安全”。在“身份验证”下单击“LTPA”
8. 在“跨单元单点登录”下
   1. 输入以前的密码
   2. 确认密码
   3. 使用导出的 LTPA 密钥输入文件名
   4. 点击“导入密钥”
9. 重启服务器

我们使用 GWT 作为概念证明开发了一个简单的 Web 应用程序，它具有一个简单的 UI 和一个使用 HumanTask JAX-WS 服务的 Web 服务客户端。此 Web 应用程序受到 Siteminder 身份验证器的保护（当第一次进入 Web 应用程序时，Siteminder 代理会重定向到请求凭据的 Web 表单）。Web 服务客户端是按照 JAX-WS 标准开发的，没有添加额外的依赖项，我们依赖于 WebSphere JAX-WS 实现（Apache Axis2）。部署后，我们在没有运气的情况下测试了两个场景：

方案 A：

• 默认情况下，WPS 的 HumanTask 服务提供者附加到策略集“BPC Web 服务”，默认策略集绑定和策略集共享被禁用。
• 我们将 HumanTask 服务客户端配置为使用与服务提供者相同的策略集。

• 登录到自定义 Web 应用程序。当尝试查询当前任务时，我们得到以下异常：

  /li>

服务提供商端没有错误消息。

方案 B：

• 更改 WPS 的 HumanTask 服务提供者配置，通过 HTTP GET 启用策略集共享。这种方式服务提供者 WSDL 包含有关策略集的信息。
• 更改服务客户端的策略集配置以使用 HTTP GET 从提供者获取策略集。

• 登录到自定义 Web 应用程序。当尝试查询当前任务时，我们得到以下异常：

  /li>

在到达报告先前异常的点之前，我们在服务客户端日志中看到以下警告：

在服务提供商日志中，我们可以看到以下错误：

并且生成了一组 FFDC，报告了我们在服务客户端遇到的相同异常。

能帮助我们的人会很棒！

我有一个使用 j2ee 安全性的 j2ee Web 应用程序，因此用户的身份从 WebSEAL 传播到在 WAS7 中运行的应用程序。我现在正在尝试进行 SOAP Web 服务调用并在该 Web 服务调用中传播用户身份。为此，我使用 WSSubject 调用获取 LTPA (WSCredential) 和 LPTA2 (SingleSignOnToken) 并将它们附加到使用的 webservices 调用。

其中 bp 是我的 BindingProvider。这一切都应该工作。但是当我进行网络服务调用时，我得到了这个异常。

我查看了 LTPA 令牌中的字段，一切似乎都正确（令牌和我正在调用的 j2ee 安全领域 web 服务之间的领域相同，令牌是可转发的，等等），我在网上找不到太多关于这个错误的信息，除了（这似乎是一个不相关的情况）尝试将其传递到 EJB 时的情况以及领域不匹配的情况。

有任何想法吗？谢谢。

我在 websphere server 7.x 上使用 JSF richfaces 3.3。

问题是，当用户使用浏览器窗口登录到应用程序并使其保持打开状态超过 LTPA 令牌超时时间时，就会发生 LTPA 令牌过期异常。然后页面不会重定向到配置的“注销”页面。但它被重定向到登录页面，成功登录后会显示一个奇怪的 xml 页面。我知道发生这种情况是因为当我们尝试访问 JSF 资源时 LTPA 令牌超时，因为不存在身份验证详细信息，页面被重定向到登录页面。然后，由于不存在适当的会话，Faces 上下文仍在尝试访问先前的会话 JSF 树，此异常正在发生。

所以问题是：如何在 JSF richfaces3.3 中处理这种 LTPA 令牌超时的情况？

PS：页面在网络会话到期时被重定向到“注销”页面。

我正在开发一个在 iOs 下运行的智能手机应用程序，它将通过 Web 服务绑定调用 Websphere OpenSCA 组件。我想使用 WSSE-Security binaryToken 中的 LTPA 令牌来保护 Web 服务。

客户希望用户使用客户 ID（8 位）和 6 位中的 3 位 PAC 数字登录。

我正在考虑编写一个 WAS TAI 来处理身份验证，但我不确定我是否可以获得一个 LTPA 令牌，并将其发送回 iOS 应用程序，在那里它将用作 Web 服务调用的后续部分， 如上所述。

有没有人对我如何进行有任何想法或建议？

干杯，骗局