Suporte à segurança da sessão

É possível integrar sessões HTTP e a segurança no WebSphere Application Server. Quando a integração da segurança for ativada no recurso de gerenciamento de sessão e uma sessão for acessada em um recurso protegido, a partir daí, apenas será possível acessar essa sessão em recursos protegidos. A segurança de sessão (integração de segurança) é ativada, por padrão.

Não é possível misturar recursos protegidos e não protegidos acessando sessões quando a integração de segurança estiver ativada. A integração de segurança no recurso de gerenciamento de sessão não é suportada em login baseado em formulário com SWAM.
Recurso Reprovado Recurso Reprovado: SWAM está reprovado no WebSphere Application Server Versão 9.0 e será removido em um release futuro.depfeat

Regras de integração de segurança para sessões HTTP

Somente usuários autenticados podem acessar sessões criadas em páginas protegidas e são criadas com a identidade do usuário autenticado. Somente esse usuário autenticado pode acessar essas sessões em outras páginas protegidas. Para proteger essas sessões de usuários não autorizados, elas não podem ser acessadas de uma página não protegida.

Detalhes e Cenários Programáticos

O WebSphere Application Server mantém a segurança de sessões individuais.

Uma identidade ou nome do usuário, legível pela interface com.ibm.websphere.servlet.session.IBMSession, é associada a uma sessão. Um identidade não autenticada é denotada pelo nome de usuário anonymous. O WebSphere Application Server inclui a classe com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException, que é utilizada quando uma sessão é solicitada sem as credenciais necessárias.

O recurso de gerenciamento de sessões utiliza a infra-estrutura de segurança do WebSphere Application Server para determinar a identidade autenticada associada a um pedido de HTTP do cliente que recupere ou crie uma sessão. A segurança do WebSphere Application Server determina a identidade utilizando certificados, LPTA e outros métodos.

Depois de obter a identidade do pedido atual, o recurso de gerenciamento de sessões determina se retornará a sessão comparando a identidade do pedido com a identidade da sessão.

Tabela 1. Cenários de integração de segurança. A tabela a seguir lista possíveis cenários nos quais a integração de segurança é ativada com resultados dependentes de se o pedido HTTP é autenticado e se um ID de sessão e nome de usuário válidos foram transmitidos ao recurso de gerenciamento de sessão.
Tipo de ID de Sessão O pedido HTTP não autenticado é utilizado para recuperar uma sessão A solicitação de HTTP está autenticada, com uma identidade de "FRED" usada para recuperar a sessão
Nenhum ID de sessão foi passado para este pedido, ou o ID é para uma sessão inválida É criada uma nova sessão. O nome do usuário é anonymous É criada uma nova sessão. O nome do usuário é FRED
Um ID de sessão é passado para uma sessão válida. O nome de usuário da sessão atual é "anônimo" A sessão é retornada. A sessão é retornada. O gerenciamento de sessões altera o nome do usuário para FRED
Um ID de sessão é passado para uma sessão válida. O nome do usuário da sessão atual é FRED A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado* A sessão é retornada.
Um ID de sessão é passado para uma sessão válida. O nome do usuário da sessão atual é BOB A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado* A sessão não é retornada. Um erro UnauthorizedSessionRequestException é criado*
Nota: * Um erro com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException é criado para o servlet.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprs_secg
Nome do arquivo: rprs_secg.html