セッション・セキュリティー・サポート
HTTP セッションとセキュリティーは WebSphere® Application Server 内で統合することができます。 セッション管理機構内でセキュリティー統合が使用可能になっていて、 セッションが保護リソース内でアクセスされた場合には、それ以降、このセッションには保護リソース内でしかアクセスできません。セッション・セキュリティー (セキュリティー統合) は、デフォルトでは使用可能に設定されています。

HTTP セッション用のセキュリティー統合規則
保護ページで作成されるセッションには、認証済みユーザーのみアクセスできます。 このセッションは、認証済みユーザーの ID の下で作成されます。 この認証済みユーザーのみが、他の保護ページ内のこれらのセッションにアクセスできます。 無許可ユーザーの使用から保護するため、これらのセッションは非保護ページからアクセスできないようになっています。
方針に基づいた詳細とシナリオ
WebSphere Application Server は、 個々のセッションのセキュリティーを維持します。
ID またはユーザー名は、com.ibm.websphere.servlet.session.IBMSession インターフェースで読み取り可能なもので、1 つのセッションと関連付けられています。 非認証の ID は、ユーザー名「anonymous」で表されます。 WebSphere Application Server には、 com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException クラスが組み込まれています。 これは、必要なクレデンシャルなしにセッションが要求された場合に使用されます。
セッション管理機構は、WebSphere Application Server セキュリティー・インフラストラクチャーを使用して、 セッションの検索または作成を行うクライアント HTTP 要求に関連付けられた認証済み ID を判別します。 WebSphere Application Server セキュリティーは、証明書、LPTA、およびその他の方法を用いて、ID を判別します。
セッション管理機構は、現行要求の ID を取得した後、 セッションを戻すかどうかを、要求の ID をセッションの ID と比較することによって 判断します。
セッション ID のタイプ | セッションを取り出すのに、非認証 HTTP 要求が使用されている。 | HTTP 要求が、セッションの取り出しに「FRED」という ID を使用して認証されている |
---|---|---|
この要求についてセッション ID が渡されなかったか、 あるいはその ID が無効になったセッション用のものであった。 | 新しいセッションが作成される。ユーザー名は「anonymous」。 | 新しいセッションが作成される。ユーザー名は「FRED」。 |
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「anonymous」。 | セッションは戻される。 | セッションは戻される。セッション管理機構がユーザー名を「FRED」に変更する |
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「FRED」。 | セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される* | セッションは戻される。 |
有効なセッションのセッション ID が渡された。 現在のセッション・ユーザー名は「BOB」。 | セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される* | セッションは戻されない。UnauthorizedSessionRequestException エラーが作製される* |