问题标签 [ltpa]

这是 ISAM 和 MobileFirst 6.3 之间基于 LTPA 令牌的身份验证的设置： ISAM 设备正在托管登录页面并使用来自 MobileFirst 6.3 服务器的 ltpa.keys 生成 LTPA 令牌。ISAM 还连接到 LDAP 以对用户进行身份验证，最终将带有生成的 ltpaToken2 cookie 的请求转发到 MobileFirst 6.3 服务器。我已经配置了以下 authenticationConfig.xml

Server.xml 包含：

它抛出以下异常。据我了解，当在请求中提供 ltpaToke2 时，默认登录处理程序应该在 MobileFirst 中正常工作。不知道我在这里缺少什么。

==> trace.log <== [7/22/15 20:28:03:229 UTC] 000000eb id= com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator I processRequest FWLSE0055I: 无法识别。[项目工作灯] [7/22/15 20:28:03:230 UTC] 000000eb id=
com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator 1 processRequest 处理请求无法识别 [项目工作灯] [7/22/15 20 :28:03:230 UTC] 000000eb id=
com.worklight.core.auth.ext.WebSphereFormBasedAuthenticator < processRequest RETURN

I have set up the SSO between 2 WAS cells and its being verified. LDAP is being configured in both WAS cells. My question is how to generate the LTPA token which contains the mail or the employee id in it ? In my case the LTPA token generated contains the employee id of the user and I am expecting email id of the user in the LTPA token at receiving end. Is there any setting on WAS console which allows me to set the email id of the user in generated LTPA token ? I have WAS server version 8.5.

我正在使用 WebSphere 7.0.0.29 并且我遇到了 SPNEGO 授权问题 - WAS在第二个响应中返回 HTTP 代码401并且登录失败。

这是因为（我想）它无法从客户端解析 LTPA 令牌 (LtpaToken2)。它ArrayIndexOutOfBoundsException在使用 LtpaToken2 Base64 解码 cookie 时抛出。第二个客户端请求中的 cookie 中的 LtpaToken2 与第一个服务器响应（Set-Cookie）中的令牌相同（如我所见）。所以一切都应该没问题，但不幸的是它不是：/

在我的第二个类似的环境（具有相同版本的 WAS 和相同的配置）上，一切正常 - 但它位于不同的域中，因此位于不同的域控制器中。

虽然在这些环境中比较客户端-服务器通信之间的差异很繁琐，但我注意到在我的非工作环境中，LtpaToken2比在工作环境中更短（！）（如您在 http_access.log 中所见）。LtpaToken 也更短。但我不知道，为什么。

也许是编码原因？还是不同的 KDC 配置...？

我的客户端是 Java Web Start 1.7.0_60-b19。

我正在粘贴 WebSphere 日志的片段。如果还有其他帮助，请告诉我。

AppSrv01/logs/ffdc/server1_6150615_15.08.06_16.17.48.8658543509569228235853.txt：

http_access.log（我已更改地址）：

来自工作 WAS的 http_access.log 示例：

trace.log（我已经删除了私有数据和一些不重要的行）：

使用 Facebook 或 Twitter 登录/登录 MobileFirst Server 的推荐方式是什么？我的 MobileFirst Server 与 WebspherePortal (LDAP) 相关联。

现在我使用基于 WebSphere LTPA 的身份验证 来登录 MF，一切正常，但我也希望允许用户使用社交媒体帐户登录。

在官方页面 developer.ibm.com（身份验证和安全部分）中没有建议如何连接社交网络帐户。

在我登录之前，我可以点击安全约束目录之外的任何内容。如果我尝试转到安全约束目录内的某个位置，它会将我重定向到表单登录页面。如你所料。

登录后，我可以开展我的业务，​​并在我的安全约束内外访问资源。

但是，当 LTPA 令牌过期（仍然有活动会话）并且我尝试转到不受限制的页面时，比如说被重定向到登录页面，我在标题中收到错误。

所以我想弄清楚一些事情： 1. 我可以让 LTPA 令牌像我的会话一样不会过期吗？2. 当 LTPA 令牌过期时，我可以使我的会话过期吗？3. 为什么我不能匿名访问无限制页面？它清楚地认识到我的 LTPA 令牌已过期并试图将我重定向到登录。在这一点上它失败了。

好的，所以有一个过滤器。过滤器将未登录的人重定向到登录页面。但是问题再次出现，一旦 ltpa 令牌过期，这条线就无法((HttpServletRequest) request).getSession(false)在标题中抛出异常，UnauthorizedSessionRequestException. 如您所见，我试图捕捉该错误并注销。哪一个，糟糕，又抛出一个UnauthorizedSessionRequestException. 那么我如何不使用会话呢？

是否有任何方法可以验证以前在我的 nodejs 应用程序中从 IBM Tivoli 联合 Websphere Application Server 生成的 LTPA 令牌。我检查了“ldapjs”，但找不到可以验证 LTPA 令牌的东西。

在其中一个项目中，客户要求延长项目的 LTPA 超时。我们不能在服务器级别延长 LTPA 超时。因为服务器（WAS 7）有更多的项目。

所以我用谷歌搜索并在 IBM 网站上找到了一个解决方案，

它说，

上午 11:57 之后提交的工作项剩余的 LTPA 超时小于 cacheCushionMax，并且刷新了 LTPA 超时。

我尝试从应用程序重复调用，每两分钟刷新一次 LTPA 令牌。但是应用程序将在时间到期后注销。如何纠正这种情况。

此外，我尝试在 WAS 中显式设置 CacheCushionMax 和 CacheCusionMin。这没用。

请提出您的建议。

IBM 建议的屏幕截图

IBM 建议链接：http ://www-01.ibm.com/support/docview.wss?uid=swg21320747

我看到 LTPA 令牌包含以下内容：“...令牌过期时间、用户身份（通常是 LDAP 专有名称）和数字签名。签名涵盖用户数据收集（用户身份加上任何可选的键值pair )、已验证用户的安全上下文（令牌服务器颁发者的名称和地址、到期时间、SPNEGO 状态等）。

我对用户数据收集感兴趣，其中提到了键值对的使用。我想知道这是否意味着生成令牌的人可以通过使用名称值对来包含任何数据（例如： mydata1=12345678, mydata2=abcdefg ）。如果可以，那么我会进一步假设这个 LTPA 令牌的接收者也可以通过使用一些 LDAP API 来获取 mydata1 和 mydata2 值？

身份验证后，我正在 datapower 中生成一个 LTPA 令牌。

我想存储此令牌以供进一步处理。（针对另一个请求进行验证）

如何在 datapower 中存储/缓存此令牌？

我目前正在为我的公司开发一个应用程序，它本质上是一个电话簿应用程序。假设您是一位经理 - 名叫 Alex - 并且有 3 个开发人员向您报告：Mike、Matt 和 Mark。为了收集向您报告的这 3 位开发人员的联系信息以便在前端显示，您必须调用后端 Lotus Notes Java 代理，该代理调用 SAP ABAP 功能模块.

通过对我们公司的主页进行身份验证，我可以在浏览器中访问该代理，该主页会生成一个 LTPAToken cookie 和一个 MySAPSSO2 cookie。一旦您能够对该网站进行身份验证，您就可以调用此后端代理并获取要返回的预期数据。

我的问题是我不确定如何在前端应用程序中进行此身份验证。如何获取 LTPAToken 和 MySAPSSO2 cookie 以便能够调用此后端代理来获取数据？

我可以提供任何需要的进一步信息，谢谢大家。-麦克风