Soporte de seguridad de sesiones

Puede integrar las sesiones HTTP y la seguridad en WebSphere Application Server. Si se habilita la integración de sesiones en el recurso de gestión de sesiones cuando se accede a una sesión de un recurso protegido, a partir de ese momento podrá acceder a dicha sesión solamente en los recursos protegidos. La seguridad de sesión (integración de seguridad) se habilita de forma predeterminada.

No se pueden combinar recursos protegidos y desprotegidos al acceder a sesiones cuando la integración de la seguridad está activada. La integración de la seguridad en el recurso de gestión de sesiones no está soportada en el inicio de sesión basado en formularios con SWAM.
Deprecated feature Deprecated feature: SWAM está en desuso en WebSphere Application Server Versión 9.0 y se eliminará de releases futuros.depfeat

Normas para la integración de seguridad para sesiones HTTP

Solamente los usuarios autenticados podrán acceder a las sesiones creadas en las páginas protegidas y que se creen bajo la identidad del usuario autenticado. Este usuario autenticado es el único que puede acceder a estas sesiones en otras páginas protegidas. Para proteger estas sesiones de usuarios no autorizados, no se puede acceder a ellas desde una página no segura.

Detalles y escenarios mediante programa

WebSphere Application Server mantiene la seguridad de sesiones individuales.

Una sesión tiene asociado un nombre de identidad o de usuario, que puede leerse mediante la interfaz com.ibm.websphere.servlet.session.IBMSession. El nombre de usuario anónimo identifica una entidad no autenticada. WebSphere Application Server incluye la clase com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, que se utiliza cuando se realiza la solicitud de una sesión sin las credenciales necesarias.

El recurso de gestión de sesiones usa la infraestructura de seguridad de WebSphere Application Server para determinar la identidad autenticada asociada con una solicitud HTTP de cliente que recupera o crea una sesión. La seguridad de WebSphere Application Server determina la identidad utilizando certificados, LTPA y otros métodos.

Después de obtener la identidad de la solicitud actual, el recurso de gestión de sesiones determina si se debe devolver la sesión comparando la identidad de la solicitud con la identidad de la sesión.

Tabla 1. Escenarios de integración de seguridad. La tabla siguiente enumera los posibles casos en los que se habilita la integración de seguridad con resultados que dependen de si la petición HTTP se ha autenticado y de si se han pasado un ID de sesión y un nombre de usuario válidos al recurso de gestión de sesiones.
Tipo de ID de sesión Se ha utilizado una solicitud HTTP no autenticada para recuperar una sesión Se ha autenticado la solicitud HTTP con la identidad "FRED" para recuperar una sesión
No se ha pasado ningún ID de sesión para esta petición o se ha pasado un ID para una sesión que ya no es válida Se ha creado una nueva sesión. El nombre de usuario es anónimo Se ha creado una nueva sesión. El nombre de usuario esFRED
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es "anónimo" Se devuelve la sesión. Se devuelve la sesión. La gestión de sesiones cambia el nombre de usuario por FRED
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es FRED No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException* Se devuelve la sesión.
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es BOB No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException* No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException*
Nota: * Se ha producido un error com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException en el servlet.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprs_secg
File name: rprs_secg.html