Unterstützung der Sicherheit von Sitzungen
Sie können HTTP-Sitzungen und die HTTP-Sicherheitskomponente in WebSphere Application Server integrieren. Wenn die Sicherheitsintegration in der Sitzungsverwaltung aktiviert ist und in einer geschützten Ressource auf eine Sitzung zugegriffen wird, können Sie ab dem Zeitpunkt des Zugriffs nur in geschützten Ressourcen auf diese Sitzung zugreifen. Die Sitzungssicherheit (Sicherheitsintegration) ist standardmäßig aktiviert.

Sicherheitsintegrationsregeln für HTTP-Sitzungen
Nur ein authentifizierter Benutzer kann auf Sitzungen, die auf geschützten Seiten und mit der Identität des authentifizierten Benutzers erstellt wurden, zugreifen. Nur dieser authentifizierte Benutzer kann auf anderen geschützten Seiten auf diese Sitzungen zugreifen. Zum Schutz dieser Sitzungen vor unbefugtem Zugriff können Sie von ungeschützten Seiten nicht auf diese Seiten zugreifen.
Programmierungsdetails und Szenarien
WebSphere Application Server verwaltet die Sicherheit einzelner Sitzungen.
Eine Identität oder ein Benutzername, der von der Schnittstelle com.ibm.websphere.servlet.session.IBMSession gelesen werden kann, wird einer Sitzung zugeordnet. Einer nicht authentifizierten Identität wird der Benutzername anonymous zugeordnet. WebSphere Application Server enthält die Klasse com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException die verwendet wird, wenn eine Sitzung ohne die erforderlichen Berechtigungen angefordert wird.
Die Sitzungverwaltung verwendet die Sicherheitsinfrastruktur von WebSphere Application Server, um die einer Client-HTTP-Anforderung zugeordnete authentifizierte Identität zu ermitteln, mit der eine Sitzung angefordert oder erstellt wird. Die Sicherheitseinrichtung von WebSphere Application Server ermittelt die Identität anhand von Zertifikaten, LPTA und anderen Methoden.
Nachdem die Identität der aktuellen Anforderung ermittelt wurde, legt die Sitzungsverwaltung fest, ob die Sitzung zurückgegeben wird, indem sie die die Identität der Anforderung mit der Identität der Sitzung vergleicht.
Typ der Sitzungs-ID | Zum Abrufen einer Sitzung wird eine nicht authentifizierte HTTP-Anforderung verwendet. | Die HTTP-Anforderung wird authentifiziert, die Identität "FRED" wird für den Abruf der Sitzung verwendet. |
---|---|---|
Für diese Anforderung wurde keine Sitzungs-ID übergeben oder die ID für eine Sitzung ist nicht mehr gültig. | Eine neue Sitzung wird erstellt. Der Benutzername ist anonymous. | Eine neue Sitzung wird erstellt. Der Benutzername ist FRED. |
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist "anonymous". | Die Sitzung wird zurückgegeben. | Die Sitzung wird zurückgegeben. Die Sitzungsverwaltung ändert den Benutzernamen in FRED. |
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist FRED. | Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.* | Die Sitzung wird zurückgegeben. |
Eine Sitzungs-ID für eine gültige Sitzung wird übergeben. Der aktuelle Benutzername der Sitzung ist BOB. | Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.* | Die Sitzung wird nicht zurückgegeben. Eine UnauthorizedSessionRequestException wird ausgelöst.* |