LTPA 和 LTPA V2 令牌
Web Service 安全性支持 LTPA (V1) 令牌和 LTPA V2 (LTPA2) 令牌。只有 JAX-WS 运行时才支持 LTPA2 令牌(它比 V1 令牌更安全)。

轻量级第三方认证 (LTPA) 令牌是二进制安全性令牌的具体类型。WebSphere Application Server V5 及更高版本的 Web Service 安全性实现支持 LTPA V1 令牌。WebSphere Application Server V7 及更高版本支持使用 JAX-WS 运行时环境的 LTPA V2 令牌。
尽管在 LTPA V1 和 LTPA V2 策略中使用同一 LTPAToken 声明,但是 V2 令牌的 URI 与 V1 的 valuetype 值不同。valuetype 值由 URI和局部名组成。下表显示了将 LTPA 令牌选为策略集绑定的令牌类型时,LTPA 令牌版本的 valuetype 值。这些值不可编辑。
LTPA 版本令牌 | Valuetype 值 |
---|---|
LTPA (V1) | http://www.ibm.com/websphere/appserver/tokentype/5.0.2/LTPA |
LTPA2 | http://www.ibm.com/websphere/appserver/tokentype/LTPAv2 |
要允许正在运行不同版本的 WebSphere Application Server 的服务器之间的互操作性,缺省情况下,将绑定配置成期望 LTPA2 令牌时,V7.0 及更高版本中的 JAX-WS Web Service 安全性运行时可以成功使用 LTPA V1 令牌。但是,您可以将 JAX-WS 运行时的绑定配置成只接受 LTPA2 令牌。有关更多信息,请参阅关于认证生成器或使用者令牌设置的文档。
如果 Web Service 安全性运行时接收到含有未识别的 valuetype 值的令牌并且 SOAP 安全性头包含值等于 '1' 的 mustUnderstand 属性,那么 Web Service 安全性运行时将发出 SOAPFaultException 错误。如果 mustUnderstand 属性值等于 '0',那么将忽略该令牌。
如果已将 mustUnderstand 属性的值等于 '1' 的 LTPA2 令牌发送至不支持 LTPA2 令牌的 Web Service 安全性运行时,那么该运行时将不识别 LTPAv2 valuetype 值。因此,接收运行时将发出 SOAPFaultException 错误。下表说明了这些不同配置及其潜在的错误消息。
运行时 | LTPA V1 令牌状态 | MustUnderstand 属性值 | SOAPFaultException 错误 |
---|---|---|---|
JAX-RPC | 必需 | 1 |
|
JAX-RPC | 必需 | 0 |
|
JAX-RPC | 可选 | 1 |
|
JAX-RPC | 可选 | 0 | None |
JAX-RPC | 未配置 | 1 |
|
JAX-RPC | 未配置 | 0 | None |
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) | 未配置 | 1 |
|
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) | 未配置 | 0 | None |
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) | 已配置 | 1 |
|
JAX-WS(适用于 Web Service 的 V6.1 功能部件包) | 已配置 | 0 |
|
您可以将 JAX-WS 运行时配置成生成 LTPA (V1) 或 LTPA2 令牌。如果在策略绑定中将 LTPA 令牌生成器配置成生成 LTPA (V1) 令牌,那么必须执行下列操作:
- 启用单点登录互操作性方式,可在管理控制台的单点登录 (SSO) 面板中找到此选项。 有关此选项的更多信息,请参阅关于单点登录设置的文档。
- 对于 LTPA 令牌生成器,将 com.ibm.wsspi.wssecurity.tokenGenerator.ltpav1.pre.v7 定制属性设置为 true。