生成 LTPA 令牌？

Posted 2023-02-19

【中文标题】生成 LTPA 令牌？

【英文标题】：Generate an LTPA token?

【发布时间】：2011-02-22 12:25:46

【问题描述】：

我们需要将服务器与不支持 LTPA 的 WebSphere 环境集成。我找到了Working with Lightweight Third Party Authentication (LTPA) by Cosmin Stejerean 和相应的代码来解码LTPA 令牌中的信息。但是，没有解释数字签名及其生成/验证方式的代码。有人知道如何在自定义代码中生成 LTPA 令牌吗？

【问题讨论】：

你有没有想过这个问题？我也会对签名算法感兴趣。

很遗憾，没有。我从来没有收到过有效的回复，也没有时间亲自尝试。

这是一个非自定义代码但产品方式来做到这一点。您需要使用 Tivoli Federated Identity Manager。 ibm.com/developerworks/websphere/library/techarticles/…

【参考方案1】：

您需要指定集成的方式和内容？

LTPA 是 WebSphere 和其他 IBM 产品（例如 Lotus 产品）使用的一种机制，作为一种身份验证手段（通常用于 SSO 上的单点登录）

如果 WebSphere App Server（例如）对用户进行身份验证，并且请求发送到 Lotus 产品（属于同一域的一部分），则 Lotus 产品通过 WAS 生成的 LTPA 令牌识别用户.

这同样适用于多个 WebSphere 产品。

没有供用户使用的 LTPA 的公共 API，它旨在供各种 IBM 产品使用。

HTH 芒露

【讨论】：

我知道没有可用于 LTPA 的公共 API。这就是为什么我引用了展示如何验证 LTPA 令牌的博客文章。我能够扭转这一点并创建除数字签名之外的所有必要元素。为了完成集成代码，我需要有关最后一部分的更多信息。我希望集成的服务器是自定义代码，因此没有可用的集成库。我们自己写。

嗨，我想强调一个事实，这不是一个公共 API。如果您从博客中使用它，那么您就是在冒险。如果 IBM 期望您使用 LTPA 令牌，那么他们会发布执行此操作的方法和方法。抱歉，我无法在这里为您提供帮助。谢谢，芒卢

【参考方案2】：

我同意 Gary 的观点，即您可以选择不同的令牌来使用 WebSphere。您不必使用 LTPA。

但话虽如此....我有一个Question and Answer I figured out on my own 可以使用 IBM 工具与安全性进行通信。观点是 Web 服务（特别是 JAX-WS），但我确信其中一些原则可以延续。在那篇文章中，我主要依赖于以下developerworks article。

另外...不确定您是否可以考虑这一点，但有些产品可以为您进行令牌翻译。我工作的地方是一家 IBM 商店，而且往往流血很严重，所以我只知道 IBM 堆栈（这可能会帮助您使用 WebSphere），但我确信还有其他产品和/或免费/开源项目您可以使用。 IBM 工具的一个示例是 IBM WebSphere DataPower 设备。我相信一些 IBM Tivoli 产品也可以在该领域提供帮助。

另外...根据我使用 LTPA 的经验。如果您不在容器（即 WebSphere 盒子）中运行，IBM 不允许您生成令牌。所以测试有点棘手。

我已经给了你一些线索让你继续。希望其中之一有所帮助。

【参考方案3】：

我还没有找到有关生成 LTPA 令牌的文档。也许您可以从这段代码中找出您需要什么，https://github.com/Unicon/ltpa-bridge，它会生成 LTPA 令牌。

【讨论】：

此代码仅适用于 Domino LTPA 令牌。它不适用于 WebSphere LTPA 令牌。

【参考方案4】：

您可以使用配置了 DataPower Gateway 的 IBM API Connect 来生成 Ltpa 令牌（给定用户 ID）。

https://www.ibm.com/support/knowledgecenter/en/SSMNED_5.0.0/com.ibm.apic.toolkit.doc/rapim_ref_ootb_policyltpagen.html