Unterstützung der Sicherheit von Sitzungen

Sie können HTTP-Sitzungen und die HTTP-Sicherheitskomponente in WebSphere Application Server integrieren. Wenn die Sicherheitsintegration in der Sitzungsverwaltung aktiviert ist und in einer geschützten Ressource auf eine Sitzung zugegriffen wird, können Sie ab dem Zeitpunkt des Zugriffs nur in geschützten Ressourcen auf diese Sitzung zugreifen. Die Sitzungssicherheit (Sicherheitsintegration) ist standardmäßig aktiviert.

Sie können bei aktivierter Sicherheitsintegration geschützte und nicht geschützte Ressourcen beim Zugriff auf Sitzungen nicht kombiniert verwenden. Die Sicherheitsintegration in der Sitzungsverwaltung wird bei der formulargestützten Anmeldung mit SWAM nicht unterstützt.
Veraltetes Feature Veraltetes Feature: SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.depfeat

Sicherheitsintegrationsregeln für HTTP-Sitzungen

Nur ein authentifizierter Benutzer kann auf Sitzungen, die auf geschützten Seiten und mit der Identität des authentifizierten Benutzers erstellt wurden, zugreifen. Nur dieser authentifizierte Benutzer kann auf anderen geschützten Seiten auf diese Sitzungen zugreifen. Zum Schutz dieser Sitzungen vor unbefugtem Zugriff können Sie von ungeschützten Seiten nicht auf diese Seiten zugreifen.

Programmierungsdetails und Szenarien

WebSphere Application Server verwaltet die Sicherheit einzelner Sitzungen.

Eine Identität oder ein Benutzername, der von der Schnittstelle com.ibm.websphere.servlet.session.IBMSession gelesen werden kann, wird einer Sitzung zugeordnet. Einer nicht authentifizierten Identität wird der Benutzername anonymous zugeordnet. WebSphere Application Server enthält die Klasse com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException die verwendet wird, wenn eine Sitzung ohne die erforderlichen Berechtigungen angefordert wird.

Die Sitzungverwaltung verwendet die Sicherheitsinfrastruktur von WebSphere Application Server, um die einer Client-HTTP-Anforderung zugeordnete authentifizierte Identität zu ermitteln, mit der eine Sitzung angefordert oder erstellt wird. Die Sicherheitseinrichtung von WebSphere Application Server ermittelt die Identität anhand von Zertifikaten, LPTA und anderen Methoden.

Nachdem die Identität der aktuellen Anforderung ermittelt wurde, legt die Sitzungsverwaltung fest, ob die Sitzung zurückgegeben wird, indem sie die die Identität der Anforderung mit der Identität der Sitzung vergleicht.

Tabelle 1. Szenarien für die Sicherheitsintegration. In der folgenden Tabelle sind mögliche Szenarien aufgeführt, in denen die Sicherheitsintegration aktiviert ist, deren Ausgabe davon abhängt, ob die HTTP-Anforderung authentifiziert wurde oder eine gültige Sitzungs-ID und ein Benutzername an die Sitzungsverwaltung übergeben wurden:
Typ der Sitzungs-ID Zum Abrufen einer Sitzung wird eine nicht authentifizierte HTTP-Anforderung verwendet. Die HTTP-Anforderung wird authentifiziert, die Identität "FRED" wird für den Abruf der Sitzung verwendet.
Für diese Anforderung wurde keine Sitzungs-ID übergeben oder die ID für eine Sitzung ist nicht mehr gültig. Eine neue Sitzung wird erstellt. Der Benutzername ist anonymous. Eine neue Sitzung wird erstellt. Der Benutzername ist FRED.
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist "anonymous". Die Sitzung wird zurückgegeben. Die Sitzung wird zurückgegeben. Die Sitzungsverwaltung ändert den Benutzernamen in FRED.
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist FRED. Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.* Die Sitzung wird zurückgegeben.
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist BOB. Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.* Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.*
Anmerkung: * Für das Servlet wird eine com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException ausgelöst.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprs_secg
Dateiname:rprs_secg.html