Support de sécurité de session

Vous pouvez intégrer des sessions HTTP et la sécurité à WebSphere Application Server. Lorsque l'intégration de la sécurité est activée dans l'utilitaire de gestion de session et qu'un accès à une session a lieu dans une ressource protégée, vous pouvez ensuite n'accéder à cette session que dans les ressources sécurisées. La sécurité de la session (intégration de la sécurité) est activée par défaut.

Vous ne pouvez pas combiner des ressources sécurisées et des ressources non sécurisées accédant aux sessions lorsque l'intégration de la sécurité est activée. L'intégration de la sécurité dans l'utilitaire de gestion de session n'est pas prise en charge lors de l'authentification SWAM à l'aide de formulaires.
Fonction obsolète Fonction obsolète: SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimé dans une version ultérieure.depfeat

Règles d'intégration de la sécurité pour les sessions HTTP

Seuls les utilisateurs authentifiés peuvent accéder aux sessions créées dans les pages sécurisées et sous l'identité de l'utilisateur authentifié. Seul cet utilisateur authentifié peut accéder à ces sessions dans d'autres pages sécurisées. Pour interdire aux utilisateurs non autorisés l'utilisation de ces sessions, ces dernières ne sont pas accessibles à partir d'une page non sécurisée.

Détails et scénarios de programmation

WebSphere Application Server gère la sécurité des sessions individuelles.

Une identité ou un nom d'utilisateur, lisible par l'interface com.ibm.websphere.servlet.session.IBMSession, est associé à une session. Une identité non authentifiée est indiquée par le nom d'utilisateur anonymous (anonyme). WebSphere Application Server inclut la classe com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, qui est utilisée lorsqu'une session est demandée sans les justificatifs (données d'identification) nécessaires.

L'utilitaire de gestion de session utilise l'infrastructure de sécurité WebSphere Application Server pour déterminer l'identité authentifiée associée à une requête HTTP d'un client et pour récupérer ou créer une session. La sécurité WebSphere Application Server détermine l'identité au moyen de certificats, de LPTA et d'autres méthodes.

Après avoir obtenu l'identité associée à la requête en cours, l'utilitaire de gestion de session détermine si la session doit être renvoyée en comparant l'identité de la requête et celle de la session.

Tableau 1. Scénarios d'intégration de la sécurité. Le tableau ci-dessous présente différents scénarios possibles, dans lesquels l'intégration de la sécurité est activée et dont l'issue varie selon que la requête HTTP est authentifiée ou non et selon qu'un ID de session et un nom d'utilisateur valides ont été transmis ou non à l'utilitaire de gestion de session.
Type d'ID de session Une requête HTTP non authentifiée est utilisée pour obtenir une session Une requête HTTP authentifiée sous l'identité "FRED" est utilisée pour obtenir une session
Aucun ID de session n'a été transmis pour cette requête, ou l'ID est destiné à une session qui n'est plus valide Une nouvelle session est créée. Le nom d'utilisateur est anonymous (anonyme) Une nouvelle session est créée. Le nom d'utilisateur est FRED
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est "anonymous" La session est renvoyée. La session est renvoyée. L'utilitaire de gestion de session remplace le nom d'utilisateur par FRED
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est FRED La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée* La session est renvoyée.
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est BOB La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée* La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée*
Remarque : * Une erreur com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException est envoyée au servlet.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprs_secg
Nom du fichier : rprs_secg.html