Lorsque je me déconnecte d'une application sur WebSphere et que je me reconnecte, le jeton LTPA reste inchangé. Je pensais qu'il changerait parce que les jetons de session sont censés être imprévisibles.
Réponses
Trop de publicités?
Manglu
Points
3340
Que faites-vous lorsque vous vous déconnectez de votre application ?
Est-ce que vous invalidez le cookie LTPA ?
Sinon, le navigateur dispose du cookie LTPA qui indique au serveur APp que vous êtes authentifié en ce qui le concerne.
Ne supposez pas que l'ID de session et les sessions HTTP et LTPA sont une seule et même chose.
erloewe
Points
1139
Les cookies de session (JSESSIONID) ne changent pas sur plusieurs versions du produit lors de la déconnexion. Cela est dû au fait que les utilisateurs non authentifiés peuvent également avoir des sessions. Il n'y a pas de problème réel à ce niveau. Les cookies SSO (LTPAKEY et LTPAKEY2) seront invalidés lors de toute déconnexion correcte.
Il est également possible que votre application soit défectueuse. Dans ce cas, il s'agit d'un système d'authentification personnalisé intégré à votre système, qui ne prend pas correctement en compte les mécanismes fournis par WebSphere Application Server. Les applications devraient probablement faire appel à une invalidation réelle, pour exemple .
