Soporte de seguridad de sesiones
Puede integrar las sesiones HTTP y la seguridad en WebSphere Application Server. Si se habilita la integración de sesiones en el recurso de gestión de sesiones cuando se accede a una sesión de un recurso protegido, a partir de ese momento podrá acceder a dicha sesión solamente en los recursos protegidos. La seguridad de sesión (integración de seguridad) se habilita de forma predeterminada.

Normas para la integración de seguridad para sesiones HTTP
Solamente los usuarios autenticados podrán acceder a las sesiones creadas en las páginas protegidas y que se creen bajo la identidad del usuario autenticado. Este usuario autenticado es el único que puede acceder a estas sesiones en otras páginas protegidas. Para proteger estas sesiones de usuarios no autorizados, no se puede acceder a ellas desde una página no segura.
Detalles y escenarios mediante programa
WebSphere Application Server mantiene la seguridad de sesiones individuales.
Una sesión tiene asociado un nombre de identidad o de usuario, que puede leerse mediante la interfaz com.ibm.websphere.servlet.session.IBMSession. El nombre de usuario anónimo identifica una entidad no autenticada. WebSphere Application Server incluye la clase com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, que se utiliza cuando se realiza la solicitud de una sesión sin las credenciales necesarias.
El recurso de gestión de sesiones usa la infraestructura de seguridad de WebSphere Application Server para determinar la identidad autenticada asociada con una solicitud HTTP de cliente que recupera o crea una sesión. La seguridad de WebSphere Application Server determina la identidad utilizando certificados, LTPA y otros métodos.
Después de obtener la identidad de la solicitud actual, el recurso de gestión de sesiones determina si se debe devolver la sesión comparando la identidad de la solicitud con la identidad de la sesión.
Tipo de ID de sesión | Se ha utilizado una solicitud HTTP no autenticada para recuperar una sesión | Se ha autenticado la solicitud HTTP con la identidad "FRED" para recuperar una sesión |
---|---|---|
No se ha pasado ningún ID de sesión para esta petición o se ha pasado un ID para una sesión que ya no es válida | Se ha creado una nueva sesión. El nombre de usuario es anónimo | Se ha creado una nueva sesión. El nombre de usuario esFRED |
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es "anónimo" | Se devuelve la sesión. | Se devuelve la sesión. La gestión de sesiones cambia el nombre de usuario por FRED |
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es FRED | No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException* | Se devuelve la sesión. |
Se ha pasado un ID de sesión para una sesión válida. El nombre de usuario de la sesión actual es BOB | No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException* | No se devuelve la sesión. Se ha generado un error de UnauthorizedSessionRequestException* |