如何验证LTPA 1令牌的签名

Question

有人知道如何验证解密的LTPA令牌的签名部分吗？

我有从我的WPE8服务器导出的密钥，并正确地解码了LTPA令牌，这样我就可以看到用户数据、到期时间和签名。

Answer 1

不幸的是，LTPA令牌格式是IBM标准。正如您可能已经注意到的，有一些关于如何解密令牌的示例(但我见过的示例中没有一个包括验证签名)，但即使这样也不是很安全，因为它是IBM标准，而且他们还没有发布任何使用LTPA的公共API。

我做了很多工作，试图在我们拥有的WP服务器和其他非WebSphere服务器之间实现SSO，我们发现最简单的方法是在Login Filters中创建我们自己的令牌。