LTPA令牌未更改

Question

当我从WebSphere上的应用程序注销并重新启动时，LTPA令牌没有变化。我认为它会改变，因为会话令牌应该是不可预测的。

Answer 1

当您注销应用程序时，您会做什么？

您是否正在使LTPA cookie无效？

如果没有，浏览器就会有LTPA cookie，它会告诉APp服务器您已经通过了身份验证。

不要假设会话ID、HTTP会话和LTPA是同一个。

Answer 2

注销时，会话cookies (JSESSIONID)在多个产品版本上不会更改。这是因为未经身份验证的用户也可能有会话。这并不是真正的问题。SSO cookie (LTPAKEY和LTPAKEY2)将在任何适当的注销时失效。

也有可能是你的应用程序有问题。在这种情况下，您拥有的是一个内置于系统中的自定义身份验证系统，它没有正确考虑WebSphere应用服务器提供的机制。对于example，应用程序可能会调用真正的无效。