Suporte à segurança da sessão
É possível integrar sessões HTTP e a segurança no WebSphere Application Server. Quando a integração da segurança for ativada no recurso de gerenciamento de sessão e uma sessão for acessada em um recurso protegido, a partir daí, apenas será possível acessar essa sessão em recursos protegidos. A segurança de sessão (integração de segurança) é ativada, por padrão.

Regras de integração de segurança para sessões HTTP
Somente usuários autenticados podem acessar sessões criadas em páginas protegidas e são criadas com a identidade do usuário autenticado. Somente esse usuário autenticado pode acessar essas sessões em outras páginas protegidas. Para proteger essas sessões de usuários não autorizados, elas não podem ser acessadas de uma página não protegida.
Detalhes e Cenários Programáticos
O WebSphere Application Server mantém a segurança de sessões individuais.
Uma identidade ou nome do usuário, legível pela interface com.ibm.websphere.servlet.session.IBMSession, é associada a uma sessão. Um identidade não autenticada é denotada pelo nome de usuário anonymous. O WebSphere Application Server inclui a classe com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, que é utilizada quando uma sessão é solicitada sem as credenciais necessárias.
O recurso de gerenciamento de sessões utiliza a infra-estrutura de segurança do WebSphere Application Server para determinar a identidade autenticada associada a um pedido de HTTP do cliente que recupere ou crie uma sessão. A segurança do WebSphere Application Server determina a identidade utilizando certificados, LPTA e outros métodos.
Depois de obter a identidade do pedido atual, o recurso de gerenciamento de sessões determina se retornará a sessão comparando a identidade do pedido com a identidade da sessão.
Tipo de ID de Sessão | O pedido HTTP não autenticado é utilizado para recuperar uma sessão | A solicitação de HTTP está autenticada, com uma identidade de "FRED" usada para recuperar a sessão |
---|---|---|
Nenhum ID de sessão foi passado para este pedido, ou o ID é para uma sessão inválida | É criada uma nova sessão. O nome do usuário é anonymous | É criada uma nova sessão. O nome do usuário é FRED |
Um ID de sessão é passado para uma sessão válida. O nome de usuário da sessão atual é "anônimo" | A sessão é retornada. | A sessão é retornada. O gerenciamento de sessões altera o nome do usuário para FRED |
Um ID de sessão é passado para uma sessão válida. O nome do usuário da sessão atual é FRED | A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado* | A sessão é retornada. |
Um ID de sessão é passado para uma sessão válida. O nome do usuário da sessão atual é BOB | A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado* | A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado* |