会话安全性支持
您可以在 WebSphere® Application Server 中集成 HTTP 会话和安全性。当启用会话管理工具中的安全性集成而且访问受保护资源中的会话时,您从那时起只能访问受保护资源中的该会话。缺省情况下,启用了会话安全性(安全性集成)。
当安全集成打开时,您不能混合受保护的和不受保护的资源访问会话。在使用 SWAM 的基于表单的登录中,不支持会话管理工具中的安全性集成。
不推荐使用的功能部件: 在 WebSphere Application Server V9.0
中,不推荐使用 SWAM,在将来的发行版中将除去此认证机制。depfeat

HTTP 会话的安全性集成规则
仅已认证的用户可以访问受保护的页面中和以已认证的用户的标识创建的会话。仅此已认证的用户能够访问其他受保护的页面中的这些会话。要保护这些会话不被未授权的用户使用,不能从未受保护的页面访问它们。
纲领性的详细信息和方案
WebSphere Application Server 维护个别会话的安全性。
com.ibm.websphere.servlet.session.IBMSession 接口可读的标识或用户名是与会话相关联的。未认证的标识是由用户名 anonymous 表示的。WebSphere Application Server 包含 com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException 类,当不使用必需的凭证请求会话时使用该类。
会话管理工具使用 WebSphere Application Server 安全性基础结构,以确定与客户机 HTTP 请求(检索或创建会话)关联的已认证的标识。WebSphere Application Server 安全性使用证书、LPTA 和其他方法确定标识。
在获得当前请求的身份后,会话管理工具会通过将请求的身份与会话的身份进行比较来确定是否返回会话。
会话标识的类型 | 用于检索会话的未认证 HTTP 请求 | HTTP 请求已经认证,并具有用于检索会话的“FRED”身份 |
---|---|---|
未传入此请求的会话标识,或传入了不再有效的会话的标识 | 创建了一个新的会话。用户名是 anonymous | 创建了一个新的会话。用户名是 FRED |
传入了一个有效会话的会话标识。当前会话用户名是“anonymous” | 返回此会话。 | 返回此会话。会话管理将用户名更改为为 FRED |
传入了一个有效会话的会话标识。当前会话用户名是 FRED | 未返回会话。创建 UnauthorizedSessionRequestException 错误* | 返回此会话。 |
传入了一个有效会话的会话标识。当前会话用户名是 BOB | 未返回会话。创建 UnauthorizedSessionRequestException 错误* | 未返回会话。创建 UnauthorizedSessionRequestException 错误* |
注: * 向 servlet 创建 com.ibm.websphere.servlet.session.UnauthorizedSessionRequestException 错误。