我看到LTPA令牌包含以下内容: “...令牌过期时间,用户身份(通常是LDAP 专有名称)和数字签名。签名涵盖用户数据集合(用户身份加上任何可选的键值对), 经过身份验证的用户的安全上下文(令牌服务器颁发者的名称和 地址,到期,SPNEGO状态等)。
我对用户数据收集很感兴趣,它提到了键值对的使用。我想知道这是否意味着生成令牌的人可以通过使用名称值对来包含任何数据(例如:mydata1 = 12345678,mydata2 = abcdefg)。如果可以,那么我会进一步假设这个LTPA令牌的接收者也可以通过使用一些LDAP API来获取mydata1和mydata2值?
答案 0 :(得分:1)
您应该能够在令牌对象上使用addAttribute方法将键值对添加到自定义登录模块中的SSOToken。在共享状态下查找com.ibm.wsspi.security.auth.callback.Constants.WSSSOTOKEN_KEY,以便在自定义登录模块中登录后获取SSOToken。
要获取键值对,一旦获得SSOToken(在loginModule中或从Subject中),就可以在令牌对象上调用getAttributes方法。