Support de sécurité de session
Vous pouvez intégrer des sessions HTTP et la sécurité à WebSphere Application Server. Lorsque l'intégration de la sécurité est activée dans l'utilitaire de gestion de session et qu'un accès à une session a lieu dans une ressource protégée, vous pouvez ensuite n'accéder à cette session que dans les ressources sécurisées. La sécurité de la session (intégration de la sécurité) est activée par défaut.

Règles d'intégration de la sécurité pour les sessions HTTP
Seuls les utilisateurs authentifiés peuvent accéder aux sessions créées dans les pages sécurisées et sous l'identité de l'utilisateur authentifié. Seul cet utilisateur authentifié peut accéder à ces sessions dans d'autres pages sécurisées. Pour interdire aux utilisateurs non autorisés l'utilisation de ces sessions, ces dernières ne sont pas accessibles à partir d'une page non sécurisée.
Détails et scénarios de programmation
WebSphere Application Server gère la sécurité des sessions individuelles.
Une identité ou un nom d'utilisateur, lisible par l'interface com.ibm.websphere.servlet.session.IBMSession, est associé à une session. Une identité non authentifiée est indiquée par le nom d'utilisateur anonymous (anonyme). WebSphere Application Server inclut la classe com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, qui est utilisée lorsqu'une session est demandée sans les justificatifs (données d'identification) nécessaires.
L'utilitaire de gestion de session utilise l'infrastructure de sécurité WebSphere Application Server pour déterminer l'identité authentifiée associée à une requête HTTP d'un client et pour récupérer ou créer une session. La sécurité WebSphere Application Server détermine l'identité au moyen de certificats, de LPTA et d'autres méthodes.
Après avoir obtenu l'identité associée à la requête en cours, l'utilitaire de gestion de session détermine si la session doit être renvoyée en comparant l'identité de la requête et celle de la session.
Type d'ID de session | Une requête HTTP non authentifiée est utilisée pour obtenir une session | Une requête HTTP authentifiée sous l'identité "FRED" est utilisée pour obtenir une session |
---|---|---|
Aucun ID de session n'a été transmis pour cette requête, ou l'ID est destiné à une session qui n'est plus valide | Une nouvelle session est créée. Le nom d'utilisateur est anonymous (anonyme) | Une nouvelle session est créée. Le nom d'utilisateur est FRED |
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est "anonymous" | La session est renvoyée. | La session est renvoyée. L'utilitaire de gestion de session remplace le nom d'utilisateur par FRED |
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est FRED | La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée* | La session est renvoyée. |
Un ID de session correspondant à une session valide est transmis. Le nom d'utilisateur de la session en cours est BOB | La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée* | La session n'est pas renvoyée. Une exception UnauthorizedSessionRequestException est générée* |