不要在服务提供程序代码中使用缺省单点登录令牌。此缺省令牌仅由 WebSphere® Application Server 运行时代码使用。
开始之前
当添加此令牌作为 HTTP Cookie 时,对此令牌有大小限制。如果您需要使用此令牌框架创建
HTTP Cookie,那么可以实现定制单点登录令牌。要实现定制单点登录令牌,请参阅实现定制单点登录令牌以进行安全性属性传播,以了解更多信息。
过程
- 修改单点登录令牌工厂配置以使用某一令牌工厂取代缺省令牌工厂。
当生成缺省单点登录令牌时,应用程序服务器会利用使用 com.ibm.wsspi.security.token.singleSignonTokenFactory 属性指定的 TokenFactory 类。使用管理控制台来修改此属性。
com.ibm.ws.security.ltpa.LTPAToken2Factory 令牌工厂是针对此属性指定的缺省值。此令牌工厂创建称为 LtpaToken2 的单点登录 (SSO) 令牌,WebSphere Application Server 将它用于传播。此令牌工厂使用 AES/CBC/PKCS5Padding 密码器。
- 打开管理控制台。
- 单击安全性 > 全局安全性。
- 在“认证”下,单击定制属性。
- 由您自己对缺省单点登录令牌执行签名和加密。
如果您需要自己执行缺省单点登录令牌的标记和加密,那么必须实现以下各类:
- com.ibm.wsspi.security.ltpa.Token
- com.ibm.wsspi.security.ltpa.TokenFactory
令牌工厂实现会实例化 (createToken) 和验证 (validateTokenBytes) 令牌实现。可以使用传递到令牌工厂的初始化方法的轻量级第三方认证 (LTPA) 密钥,也可以使用您自己的密钥。如果使用您自己的密钥,那么这些密钥必须在任何地方都是相同的,以便验证使用那些密钥生成的令牌。请参阅 API 参考信息,以了解有关实现您自己的定制令牌工厂的更多信息。
- 将您自己的令牌工厂与缺省单点登录令牌相关联。
- 打开管理控制台。
- 单击安全性 > 全局安全性。
- 在“认证”下,单击定制属性。
- 找到 com.ibm.wsspi.security.token.singleSignonTokenFactory 属性,并验证此属性的值是否与定制 TokenFactory 实现匹配。
- 验证实现类是否已放入 app_server_root/classes 目录,以便 WebSphere Application Server 类装入器可以装入这些类。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
验证实现类是否位于 ${USER_INSTALL_ROOT}/classes 目录中,以便 WebSphere Application Server 类装入器可以装入这些类。
验证 QEJBSVR 用户概要文件是否对类目录具有读、写和执行 (*RWX) 权限。可以使用“使用权限”(WRKAUT) 命令来查看该目录的权限许可权。