Lorsque je me déconnecte d'une application sur WebSphere et que je la reconnais, le jeton LTPA reste inchangé. Je pensais que ça changerait parce que les jetons de session sont supposés être imprévisibles.Jeton LTPA non modifié
Que faites-vous lorsque vous vous déconnectez de votre application?
Invalidez-vous le cookie LTPA? Si ce n'est pas le cas, le navigateur a le cookie LTPA qui indique au serveur APp que vous êtes authentifié en ce qui le concerne.
Ne supposez pas que l'ID de session et les sessions HTTP et LTPA sont identiques.
Les cookies de session (JSESSIONID) ne changent pas sur plusieurs versions de produits lors de la déconnexion. En effet, les utilisateurs non authentifiés peuvent également avoir des sessions. Il n'y a pas de problème réel là-bas. Les cookies SSO (LTPAKEY et LTPAKEY2) seront invalidés lors de toute déconnexion correcte.
Il est également possible que votre application soit défectueuse. Dans ce cas, vous disposez d'un système d'authentification personnalisé intégré à votre système qui ne prend pas en compte les mécanismes fournis par WebSphere Application Server correctement. Les applications devraient probablement appeler une invalidation réelle, pour example.
Se référer également à: http://download.boulder.ibm.com/ibmdl/pub/software/dw/wes/pdf/0611_botzum-WAS-60-security-programming-hints.pdf Cela ne ne vous fournit pas la réponse exacte à votre question mais vous fournit des informations générales qui vous sont utiles. L'utilisation de ibm_security_logoutURL est une bonne option pour se déconnecter et supprimer le cookie LTPA du navigateur. HTH Manglu – Manglu