HTTP- und Sicherheitssessions auf dem SAP NetWeaver Application Server Java
Sessions werden dazu verwendet, zwischen dem Client und dem Server ausgetauschte Informationen aufzuzeichnen und diese Informationen so lange es nötig ist, aufzubewahren. Eine Session wird zu einem bestimmten Zeitpunkt aufgebaut und zu einem späteren Zeitpunkt abgebaut. Die genauen Zeitpunkte des Session-Anlegens und Session-Löschens hängen von den Einstellungen für einen bestimmten Session-Typ ab.
Web-Anwendungen mit Zustand können Informationen zwischen mehreren Requests ablegen. Das ermöglicht der Anwendungslogik auf der Server-Seite, zwischen interagierenden Clients zu unterscheiden und dabei Informationstokens für jeden Client zu erhalten. Um dies zu erreichen, erfordern Anwendungen mit Zustand das Anlegen von HTTP-Sessions.
HTTP-Sessions
Standardmäßig hat das HTTP-Protokoll keinen Zustand. Das bedeutet, dass es keine Informationen über die Kommunikationspartner aufbewahrt und keine eigenen Sessions anlegen kann.
Wenn es allerdings notwendig ist, Informationen zwischen mehreren Requests abzulegen, kann ein Session-Mechanismus verwendet werden.
Anlegen von HTTP-Sessions:
HTTP-Sessions werden von den Anwendungen mit Zustand angelegt, mit denen der Benutzer arbeitet. Ein Benutzer kann mehr als eine HTTP-Session auf dem SAP NetWeaver Application Server Java haben, um verschiedene Anwendungen gleichzeitig zu nutzen. Eine Möglichkeit, HTTP-Sessions anzulegen ist es, die in den Java-Servlet-Spezifikation definierten APIs zu verwenden.
Beenden von HTTP-Sessions:
Das Beenden einer HTTP-Session sollte explizit von der Anwendungslogik oder von einem automatischen Verfallsmechanismus ermittelt werden.
Sicherheitssessions
Die Authentifizierungsinformation eines Web-Anwendungsbenutzers ist in einem Session-Objekt im Web-Container des SAP NetWeaver Application Server Java abgelegt. Diese Session wird als Sicherheitssession bezeichnet.
Anlegen von Sicherheitssessions:
Eine Sicherheitssession wird angelegt, nachdem der Benutzer sich erfolgreich am SAP NetWeaver Application Server Java angemeldet hat.
Beenden von Sicherheitssessions:
Eine Sicherheitssession dauert bis alle damit assoziierten HTTP-Sessions ablaufen oder invalidiert werden. Wenn eine Sicherheitssession abläuft oder durch Benutzerabmeldung invalidiert wird, werden alle assoziierten HTTP-Sessions auch invalidiert.
Nachdem sich der Benutzer angemeldet hat, legt der AS Java für diesen Benutzer eine Sicherheitssession an. Der AS Java legt auch HTTP-Sessions an, ja nach Anforderungen der Anwendungen, auf die der Benutzer zugreift. Diese HTTP-Sessions werden den Sicherheitssessions, die bereits für den Benutzer vorhanden sind, zugeordnet. Einer Sicherheitssession können viele HTTP-Sessions zugeordnet sein. Eine HTTP-Session kann nur einer Sicherheitssession zugeordnet sein.
Der Benutzer gibt die URL einer Anwendung in die Adressleiste des Browsers ein.
SAP NetWeaver Application Server Java fordert den Benutzer zur Authentifizierung auf.
Der Benutzer zur authentifiziert erfolgreich und SAP NetWeaver Application Server Java legt eine Sicherheitssession für den Benutzer an.
Der SAP NetWeaver Application Server Java legt eine HTTP-Session an, die zur Verfolgung der Interaktion zwischen dem Benutzer und der Anwendung verwendet wird.
Der SAP NetWeaver Application Server Java ordnet die HTTP-Session der Sicherheitssession zu.
Danach angelegte HTTP-Sessions werden der bereits für den Benutzer vorhandenen Sicherheitssession ebenfalls zugeordnet.
Session-Beendigung
Der Benutzer meldet sich ab.
Wenn sich der Benutzer abmeldet, baut der SAP NetWeaver Application Server Java die Sicherheitssession des Benutzers ab und invalidiert auch die HTTP-Sessions.
HinweisBei mit SAML 2.0 geschützten Anwendungen kann eine explizite Abmeldung des Benutzers oder Administrators eine Abmeldung an allen Systemen, die am SAML-2.0-Single-Log-Out teilnehmen auslösen.
Sessions laufen ab.
Der SAP NetWeaver Application Server Java oder ein Administrator beenden eine oder mehrere Sessions auf Grund eines Problems.