Serveur HTTP Apache Version 2.4
Serveur HTTP Apache Version 2.4
Langues Disponibles: fr
| Description: | des session basé sur DBD/SQL |
|---|---|
| Statut: | Extension |
| Identificateur de Module: | session_dbd_module |
| Fichier Source: | mod_session_dbd.c |
| Compatibilité: | Disponible depuis la version 2.3 d'Apache |
Les modules de session font usage des cookies HTTP, et peuvent à ce titre être victimes d'attaques de type Cross Site Scripting, ou divulguer des informations à caractère privé aux clients. Veuillez vous assurer que les risques ainsi encourus ont été pris en compte avant d'activer le des sessions sur votre serveur.
Ce sous-module du module mod_dbd.
Les sessions sont soit anonymes, et la session est alors identifiée par un UUID unique stocké dans un cookie au niveau du navigateur, soit propres à l'utilisateur, et la session est alors identifiée par l'identifiant de l'utilisateur connecté.
Les sessions basées sur SQL sont dissimulées au navigateur, et permettent ainsi de préserver la confidentialité sans avoir recours au chiffrement.
Plusieurs serveurs web d'une forêt de serveurs peuvent choisir de partager une base de données, et ainsi partager les sessions entre eux.
Pour plus de détails à propos de l'interface des sessions, voir la documentation du module mod_session.
Configuration de DBD Sessions anonymes Sessions propres à un utilisateur Nettoyage de la base de données SessionDBDCookieName SessionDBDCookieName2 SessionDBDCookieRemove SessionDBDDeleteLabel SessionDBDInsertLabel SessionDBDPer SessionDBDSelectLabel SessionDBDUpdateLabel
Pour que le module mod_dbd pour que le serveur puisse exécuter des requêtes vers la base de données.
Quatre types de requêtes sont nécessaires pour maintenir une session, sélectionner ou mettre à jour une session existante, insérer une nouvelle session et supprimer une session vide ou arrivée à expiration. Ces requêtes sont configurées comme dans l'exemple suivant :
DBDriver pgsql DBDParams "dbname=apachesession =apache =xxxxx host=localhost" DBDPrepareSQL "delete from session where key = %s" deletesession DBDPrepareSQL "update session set value = %s, expiry = %lld, key = %s where key = %s" updatesession DBDPrepareSQL "insert into session (value, expiry, key) values (%s, %lld, %s)" insertsession DBDPrepareSQL "select value from session where key = %s and (expiry = 0 or expiry > %lld)" selectsession DBDPrepareSQL "delete from session where expiry != 0 and expiry < %lld" cleansession
Les sessions anonymes sont identifiées par un UUID unique, et stockées dans un cookie au niveau du navigateur. Cette méthode est similaire à celle utilisée par la plupart des serveurs d'applications pour stocker les informations de session.
Pour créer une session anonyme, la stocker dans une table de base de donnée postgres nommée apachesession, et sauvegarder l'identifiant de session dans un cookie nommé session, configurez la session comme suit :
Session On SessionDBDCookieName session path=/
Pour plus d'exemples sur la manière dont une application CGI peut accéder aux informations de session, voir la section exemples de la documentation du module mod_session.
Pour des détails sur la manière dont une session peut être utilisée pour stocker des informations de type nom d'utilisateur/mot de e, voir la documentation du module mod_auth_form.
Les sessions propres à un utilisateur sont identifiées par le nom de l'utilisateur authentifié avec succès. Ceci permet d'assurer une confidentialité optimale, car aucun traitement externe à la session n'existe en dehors du contexte authentifié.
Les sessions propres à un utilisateur ne fonctionnent que dans un environnement d'authentification correctement configuré, qu'il s'agisse d'une authentification de base, à base de condensés (digest) ou de certificats client SSL. Suite à des limitations dues à des dépendances mutuelles, les sessions propres à un utilisateur ne peuvent pas être utilisées pour stocker les données d'authentification en provenance d'un module comme mod_auth_form.
Pour créer une session propre à un utilisateur, la stocker dans une table de base de données postgres nommée apachesession, avec comme clé de session l'identifiant utilisateur, ajoutez les lignes suivantes :
Session On SessionDBDPer On
Avec le temps, la base de données va commencer à accumuler des sessions expirées. Pour le moment, le module mod_session_dbd n'est pas en mesure de gérer automatiquement l'expiration des sessions.
L'istrateur devra mettre en oeuvre un traitement externe via cron pour nettoyer les sessions expirées.
| Description: | Nom et attributs du cookie RFC2109 qui contient l'identifiant de session |
|---|---|
| Syntaxe: | SessionDBDCookieName nom attributs |
| Défaut: | none |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDCookieName permet de spécifier le nom et les attributs optionnels d'un cookie compatible RFC2109 qui contiendra l'identifiant de session. Les cookies RFC2109 sont définis à l'aide de l'en-tête HTTP Set-Cookie.
Une liste optionnelle d'attributs peut être spécifiée pour ce cookie, comme dans l'exemple ci-dessous. Ces attributs sont insérés dans le cookie tels quels, et ne sont pas interprétés par Apache. Assurez-vous que vos attributs sont définis correctement selon la spécification des cookies.
Session On SessionDBDCookieName session path=/private;domain=example.com;httponly;secure;version=1;
| Description: | Nom et attributs du cookie RFC2965 qui contient l'identifiant de session |
|---|---|
| Syntaxe: | SessionDBDCookieName2 nom attributs |
| Défaut: | none |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDCookieName2 permet de spécifier le nom et les attributs optionnels d'un cookie compatible RFC2965 qui contiendra l'identifiant de session. Les cookies RFC2965 sont définis à l'aide de l'en-tête HTTP Set-Cookie2.
Une liste optionnelle d'attributs peut être spécifiée pour ce cookie, comme dans l'exemple ci-dessous. Ces attributs sont insérés dans le cookie tel quel, et ne sont pas interprétés par Apache. Assurez-vous que vos attributs sont définis correctement selon la spécification des cookies.
Session On SessionDBDCookieName2 session path=/private;domain=example.com;httponly;secure;version=1;
| Description: | Détermine si les cookies de session doivent être supprimés des en-têtes HTTP entrants |
|---|---|
| Syntaxe: | SessionDBDCookieRemove On|Off |
| Défaut: | SessionDBDCookieRemove On |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDCookieRemove permet de déterminer si les cookies contenant l'identifiant de session doivent être supprimés des en-têtes pendant le traitement de la requête.
Dans le cas d'un mandataire inverse où le serveur Apache sert de frontal à un serveur d'arrière-plan, révéler le contenu du cookie de session à ce dernier peut conduire à une violation de la confidentialité. À ce titre, si cette directive est définie à "on", le cookie de session sera supprimé des en-têtes HTTP entrants.
| Description: | La requête SQL à utiliser pour supprimer des sessions de la base de données |
|---|---|
| Syntaxe: | SessionDBDDeleteLabel étiquette |
| Défaut: | SessionDBDDeleteLabel deletesession |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDDeleteLabel permet de définir l'étiquette de la requête de suppression à utiliser par défaut pour supprimer une session vide ou expirée. Cette étiquette doit avoir été définie au préalable via une directive DBDPrepareSQL.
| Description: | La requête SQL à utiliser pour insérer des sessions dans la base de données |
|---|---|
| Syntaxe: | SessionDBDInsertLabel étiquette |
| Défaut: | SessionDBDInsertLabel insertsession |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDInsertLabel permet de définir l'étiquette de la requête d'insertion par défaut à charger dans une session. Cette étiquette doit avoir été définie au préalable via une directive DBDPrepareSQL.
Si une tentative de mise à jour d'une session ne concerne aucun enregistrement, c'est cette requête qui sera utilisée pour insérer la session dans la base de données.
| Description: | Active une session propre à un utilisateur |
|---|---|
| Syntaxe: | SessionDBDPer On|Off |
| Défaut: | SessionDBDPer Off |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDPer permet d'activer une session propre à un utilisateur, dont la clé sera le nom de l'utilisateur connecté. Si l'utilisateur n'est pas connecté, la directive sera ignorée.
| Description: | La requête SQL à utiliser pour sélectionner des sessions dans la base de données |
|---|---|
| Syntaxe: | SessionDBDSelectLabel étiquette |
| Défaut: | SessionDBDSelectLabel selectsession |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDSelectLabel permet de définir l'étiquette de la requête de sélection par défaut à utiliser pour charger une session. Cette étiquette doit avoir été définie au préalable via une directive DBDPrepareSQL.
| Description: | La requête SQL à utiliser pour mettre à jour des sessions préexistantes dans la base de données |
|---|---|
| Syntaxe: | SessionDBDUpdateLabel étiquette |
| Défaut: | SessionDBDUpdateLabel updatesession |
| Contexte: | configuration globale, serveur virtuel, répertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_dbd |
La directive SessionDBDUpdateLabel permet de définir l'étiquette de la requête de mise à jour par défaut à charger dans une session. Cette étiquette doit avoir été définie au préalable via une directive DBDPrepareSQL.
Si une tentative de mise à jour d'une session ne concerne aucun enregistrement, c'est la requête d'insertion qui sera appelée pour insérer la session dans la base de données. Si la base de données e InsertOrUpdate, modifiez cette requête pour effectuer la mise à jour en une seule requête au lieu de deux.
Langues Disponibles: fr