有谁知道如何验证解密的LTPA令牌的签名部分?
我有从WPE8服务器导出的密钥,并正确解码了LTPA令牌,因此我看到了用户数据,到期和签名。
答案 0 :(得分:0)
不幸的是,LTPA令牌格式是IBM标准。您可能已经注意到有一些关于如何解密令牌的示例(但我见过的没有一个包括验证签名),但即使这样也不是很安全,因为它是IBM标准并且尚未发布任何公共API都可以使用LTPA。
我在我们拥有的WP服务器和其他非WebSphere服务器之间尝试实现SSO做了很多工作,我们发现最简单的方法是在Login Filters中创建自己的令牌。