LTPA 令牌不变

Question

当我在 WebSphere 上注销应用程序并重新登录时，LTPA 令牌没有变化。我认为它会改变，因为会话令牌应该是不可预测的。

Answer 1

注销时，会话 cookie (JSESSIONID) 在多个产品版本上不会更改。这是因为未经身份验证的用户也可能有会话。那里没有实际问题。 SSO cookie（LTPAKEY 和 LTPAKEY2）将在任何正确注销后失效。

您的应用程序也可能有错误。在这种情况下，您所拥有的是系统中内置的自定义身份验证系统，而没有正确考虑 WebSphere Application Server 提供的机制。应用程序可能应该要求真正的失效，对于 示例。

Answer 2

当您退出应用程序时，您会做什么？

您是否正在使 LTPA cookie 失效？

如果没有，浏览器具有 LTPA cookie，它告诉 APp 服务器您已通过身份验证。

不要假设会话 ID 和 HTTP 会话以及 LTPA 是一样的。