问题标签 [ltpa]

此代码片段取自 Postman。从邮递员获取的 cURL 工作正常，从邮递员生成的 java 代码为特定调用提供 200 响应。但响应主体不存在。用户代理标头应该是什么？我是否也需要在我的 java 代码中使用这个邮递员令牌？我需要添加额外的标题吗？我的目标是从此 GET 调用中获取一些数据。

我正在尝试调试另一个开发人员代码，如下所示：

当我从 Postman 运行此查询时，我看到响应中添加了两个“Set-Cookie”标头，其中一个具有内容“LtpaToken2=YpMnhu ...”，这显然是我需要获取的。但是当我运行上面的代码时，它不包含这个头文件。我显然需要获取这个令牌以便将来调用另一个 API。

有人可以解释我做错了什么吗？我怎样才能捕获这个令牌，或者我应该如何在没有这个令牌的情况下连接到另一个 API？IBM 技术似乎总是如此，我几乎可以找到关于 LtpaTokens 的零文档。

我正在尝试在 IBM 和我自己的自定义应用程序之间进行 SSO。现在，据我了解，LTPA 是 WebSphere 和其他 IBM 产品（例如 Lotus 产品）使用的一种机制，作为一种身份验证手段（通常用于单点登录 SSO）。

现在，我可以在我自己的自定义应用程序中使用这种机制吗？我需要的是，如果一个人已经登录到 IBM 应用程序（如 Information Governance Catalog），那么我的应用程序不应显示其自己的登录页面。用户应自动登录

我怎样才能做到这一点？在此链接中，它适用于旧版本。我对 JAVA 不太满意，所以请多多包涵。

美好的一天，我有一个基于 websphere 9 和 ltpatoken2 cookie 的应用程序的传入请求。以前，ltpa 密钥是从我的 websphere 导出并添加到另一台服务器的。选项应用程序安全已启用。如何在 websphere 或我的应用程序中检查令牌是否存在且正确？对于没有令牌的请求，我的应用程序不应该可用。

环境：WebSphere AS 9.0.0.10。

我正在尝试登录我的应用程序（http://myhost:9080/myapp/login.xhtml），该应用程序部署在 WAS 并接下来登录 WAS 管理控制台（https://myhost:9043/ibm/console）。
在下一个浏览器选项卡中成功登录我的应用程序后，我尝试由另一个用户登录到管理控制台。它返回我 500 HTTP 代码和日志：

我猜这在某种程度上与 LTPA 令牌有关。由于我的应用程序和管理控制台位于一个主机中，它们有一个“LtpaToken2”cookie。当我登录我的应用程序时，我得到用户“dv”的 LTPA，当我登录 ibm/console 时，我得到用户“uadm”的 LTPA，LTPA 替换了“LtpaToken2”cookie。如果我手动返回以前的“LtpaToken2”cookie，我可以再次打开管理控制台，但在尝试登录时，我得到了一个新的 LTPA 和 500 HTTP 代码。我试图在服务器上禁用“安全集成”，但它没有提供任何东西。

验证过滤器

登录.xhtml

它有什么问题？我不知道（

在我开始之前：这是 serverFault.com 上另一个帖子的副本（“ https://serverfault.com/questions/1009946/hcl-domino-how-to-drop-users-logged-in-with-ltpatoken ” ); 我一开始觉得那是个问的地方，但因为我从来没有得到答案，所以我决定在这里再试一次。

我们正在运行托管许多 Xpages 应用程序的 Domino 服务器 (V 10.0.1 FP3)。除了管理员之外，所有用户都只能通过 http 访问这些应用程序（即，没有 nrpc / Notes 客户端访问）。

用户的个人数据通过 TDI 从 AD 同步到 Domino。针对公司的 AD 进行身份验证，这是通过 Web SSO 配置文档进行配置的。但是，没有完整的SSO 设置，因此用户在首次通过浏览器访问应用程序时必须进行身份验证。

出于与应用程序相关的原因，我们将 Ltpa 令牌的到期时间设置为相当高的值（如有必要，我愿意在单独的线程中讨论其原因，但这与这里的这个问题并不真正相关）。

这是配置页面的屏幕截图：

每天凌晨2:30通过程序文档下发Domino的http任务重启

该服务器的一些观察结果：

1. http 重启显然不会使令牌失效，即一旦 http 备份，保持浏览器打开的用户可以轻松地继续访问应用程序，而无需重新验证（在到期时间范围内）。（编辑）：即使重新启动整个多米诺服务器，这似乎也是正确的
2. 如果用户只是关闭浏览器而不是正确注销服务器端的令牌，则不会删除（同样，只要它们没有过期）。如果然后用户再次登录，则该用户的第二个/第三个/第四个令牌出现在服务器端
3. 显然没有直接的方法来删除用户会话，无论是通过简单的drop控制台命令还是通过管理客户端操作

问题： 有没有办法从服务器端删除这些用户会话和/或真正使令牌无效？

基本上，我正在寻找一种确保用户每天早上都必须重新进行身份验证的方法。由于 http 在每天早上 2:30 重新启动（见上文），因此最好在那个时间或前后执行此操作。

为了完整起见： 对于这个服务器，我们使用一个 Internet 站点文档，其设置如下：

任何提示都非常受欢迎。

我有一个带有简单数据库身份验证 Spring 安全性的 Spring Boot 应用程序。在较低的环境中，我们使用它，而对于较高的环境（部署在 Webpshere 应用程序服务器中），对 Spring Boot 应用程序的请求将 LTPA 令牌添加到标头中。

我的要求是，当 LTPA 令牌存在时，不要显示 Spring 安全登录表单并允许所有请求。高级环境中的所有请求都有这个令牌。

如果令牌不存在，则显示 spring security 并使用数据库进行身份验证。我不必在这里创建任何 ltpa 令牌。

我的组织已经在 Liberty 服务器上部署了一些 Web 应用程序，使用它的 SSO，它为整个 Intranet 域设置了一个 LtpaToken cookie。

现在我们正在切换到经过 openidconnect 身份验证的无会话（使用 JWT）安全 Web 应用程序。

身份验证工作正常 - 仅涉及浏览器 - 授权也工作正常（使用功能 mpJwt-1.1）。

但是当用户来自另一个 Web 应用程序（在同一个会话中）时，浏览器会发送 LtpaToken2 cookie 并且自由以 401（未经授权）拒绝该请求。

我想：

1. 完全忽略请求中碰巧出现的任何 LtpaToken cookie（是的，完全忽略，就好像它从不存在，有效或无效，或过期或其他任何情况，我们的新应用程序永远不会关心旧的 SSO 方案）；
2. 一旦带有有效 JWT 令牌的第一个请求进入，就永远不会生成 LtpaToken。

编辑

上面的第二点并没有真正发生（需要明确的是，这个新的自由服务器没有生成 LtpaToken）。

我设法创建了一个MWE，包括（实际上如此之少，您只需要 server.xml 和任何 index.html）：

（服务器.xml）

(index.html)

我可以使用简单的“Cookie：LtpaToken2”标头（是的，事件不需要值）肯定地重现第一点（以 401 拒绝）：

这确实返回了index.html文件，但 HTTP 状态为 401。对于 html，这很好。对于 javascript 文件，这不是（浏览器拒绝运行脚本）。

响应头是：

启动时服务器报告：

将请求标头“Cookie”更改为“LtpaToken2”以外的任何内容，结果是完全相同的 index.html，但状态为 200。

我需要基于 LTPA 创建一个 sso(Single Sign On)，有没有办法使用 tomcat 服务器接受 LTPA 令牌，或者 spring security 可以解密 LTPA 令牌并授权用户。而且我可能到处都搜索过，但是没有解决方案，

如何配置 Spring Security 以使用 WebSphere LTPA 身份验证？一旦 spring security 和 LTPA 已通过身份验证，我如何在 cookie 中/从 cookie 中设置/获取 LTPA 令牌？

提前致谢。

我有一个 Spring 应用程序，它验证用户名和密码，并为 SSO 使用 JWT 令牌，我已经将它部署在 WebSphere Application Server 中，（**我使用了 WAS 9）我需要应用程序来生成LTPA 令牌，以便它可以用于验证部署在 IBM 文档中的另一个 Web 领域应用程序服务器中的另一个应用程序，但是问题是。我不知道它需要在项目中添加到哪里。还是我需要做任何必要的事情。我已经从 Security>> Global Security 启用了 LTPA，并且也启用了 SSO。我知道生成是自动的，但是由于应用程序需要为特定用户创建 LTPA 令牌。它需要重定向到另一个应用程序的 URL，它也具有相同的域名，问题仍然存在，为了让应用程序生成 LTPA 令牌并将其发送到部署在其他 WAS 服务器中的应用程序，我需要进行哪些修改。我可以使用restapi吗？或者可以在 URL 中添加，或者使用 cookie。

先感谢您。