세션 보안 지원
HTTP 세션과 보안을 WebSphere® Application Server에서 통합할 수 있습니다. 세션 관리 기능에서 보안 통합이 사용 가능하고 보호 설정된 자원의 세션에 액세스하는 경우, 그 후에는 보호 설정된 자원의 해당 세션에만 액세스할 수 있습니다.세션 보안(보안)은 기본적으로 사용 가능합니다.

HTTP 세션을 위한 보안 통합 규칙
오직 인증된 사용자만 보안 페이지에 작성된 세션에 액세스할 수 있고 인증된 사용자의 ID하에서 작성됩니다. 이 인증된 사용자만 다른 보안 페이지의 세션에 액세스할 수 있습니다. 인증되지 않은 사용자로부터 이들 세션을 보호하려면, 보안되지 않은 페이지에서 이 세션에 액세스할 수 없습니다.
프로그램 세부사항 및 시나리오
WebSphere Application Server는 개별 세션의 보안을 유지보수합니다.
com.ibm.websphere.servlet.session.IBMSession 인터페이스로 읽을 수 있는 ID 또는 사용자 이름은 세션과 연관됩니다. 인증되지 않은 ID는 사용자 이름 anonymous로 표시됩니다. WebSphere Application Server는 com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException 클래스를 포함하며, 이는 필수 신임 정보 없이 세션이 요청될 때 사용됩니다.
세션 관리 기능은 WebSphere Application Server 보안 인프라를 사용하여 세션을 검색하거나 작성하는 클라이언트 HTTP 요청과 연관된 인증된 ID를 판별합니다. WebSphere Application Server 보안은 인증서, LPTA 및 기타 메소드를 사용하여 ID를 판별합니다.
현재 요청의 ID를 얻은 후, 세션 관리 기능은 요청의 ID를 세션의 ID와 비교하여 세션을 리턴할지 여부를 결정합니다.
세션 ID 유형 | 인증되지 않은 HTTP 요청을 사용하여 세션을 검색합니다. | HTTP 요청은 세션을 검색하는데 사용된 "FRED"의 ID로 인증됩니다 |
---|---|---|
이 요청의 경우 전달된 세션 ID가 없거나, 세션에 대한 ID가 더 이상 유효하지 않습니다. | 새 세션이 작성됩니다. 사용자 이름은 anonymous입니다. | 새 세션이 작성됩니다. 사용자 이름은 FRED입니다. |
유효한 세션에 대한 세션 ID가 전달됩니다. 현재 세션 사용자 이름은 "anonymous"입니다. | 세션이 리턴됩니다. | 세션이 리턴됩니다. 세션 관리 기능은 사용자 이름을 FRED로 변경합니다. |
유효한 세션에 대한 세션 ID가 전달됩니다. 현재 세션 사용자 이름은 FRED입니다. | 세션이 리턴되지 않습니다. UnauthorizedSessionRequestException 오류가 작성됩니다.* | 세션이 리턴됩니다. |
유효한 세션에 대한 세션 ID가 전달됩니다. 현재 세션 사용자 이름은 BOB입니다. | 세션이 리턴되지 않습니다. UnauthorizedSessionRequestException 오류가 작성됩니다.* | 세션이 리턴되지 않습니다. UnauthorizedSessionRequestException 오류가 작성됩니다.* |