Lorsqu'un utilisateur se connecte à l'application, il doit fournir un nom d'utilisateur et un mot de passe. Ces éléments sont envoyés au serveur, et si l'authentification aboutit, le serveur répond avec un jeton unique. Dans ce cas, le jeton correspond à un "Jeton LTPA". Ce jeton est utilisé dans toutes les demandes suivantes afin de reconnaître l'utilisateur, puis sert le contenu privilégié. Lorsque l'utilisateur se déconnecte, nous nous attendons à ce que ce jeton devienne invalide. Cependant ce n'est pas le cas, et il n'existe aucun moyen d'invalider le jeton LTPA, ayant été confirmé par IBM. IBM recommande d'utiliser deux "mesures de renforcement de la sécurité" :
Les scripts de configuration par défaut permettent d'effectuer ces changements et les étapes sont documentées dans la rubrique Configuration de la sécurité de l'administration.
Pour plus d'informations, voir :