配置 Liberty 服务器以跟踪已注销 LTPA 令牌
可配置 Liberty 服务器以跟踪已注销轻量级第三方认证 (LTPA) 令牌。
关于此任务
用户使用表单注销或程序注销时,系统会从 cookie 中移除用于单点登录的 LTPA 令牌。系统还会从本地认证高速缓存中移除用于 SSO 的 LTPA 令牌,并使会话失效。如果令牌被保存下来并再次呈现,那么系统会根据到期时间和 LTPA 加密密钥验证该令牌。
启用此元素后,系统会跟踪服务器上已注销的 LTPA SSO 令牌,如果这些令牌在同一服务器上再次出现,那么系统不会使用这些令牌。已执行注销,用户需要再次认证。
此配置仅在同一服务器上生效。这意味着,只能在用户已注销的服务器上跟踪 LTPA 令牌,如果同一 LTPA 令牌出现在另一服务器上,那么将使用该 LTPA 令牌,如果这些 LTPA 密钥是共享的并且该令牌未到期,那么将使用该令牌直到它也在该服务器上注销。
过程
要在特定 Liberty 服务器上跟踪已注销的令牌,可在 server.xml 中启用以下元素:
<webAppSecurity trackLoggedOutSSOCookies="true"/>
启用此元素后,它可能影响您的单点登录 (SSO) 方案。例如,如果用户“bob”从多个浏览器登录同一服务器,从一个浏览器注销,然后尝试使用另一浏览器访问资源,那么该用户必须登录,因为所呈现的令牌被废弃。