<-
Apache > Serveur HTTP > Documentation > Version 2.5 > Modules

Module Apache mod_session

Langues Disponibles:  en  |  fr 

Description:Support des sessions
Statut:Extension
Identificateur de Module:session_module
Fichier Source:mod_session.c
Compatibilité:Disponible depuis la version 2.3 d'Apache

Sommaire

Avertissement

Le module session fait usage des cookies HTTP, et peut à ce titre être victime d'attaques de type Cross Site Scripting, ou divulguer des informations à caractère privé aux clients. Veuillez vous assurer que les risques ainsi encourus ont été pris en compte avant d'activer le support des sessions sur votre serveur.

Ce module fournit le support d'une interface de session pour chaque utilisateur au niveau du serveur global. Les sessions permettent de transmettre diverses informations : l'utilisateur est-il connecté ou non, ou toute autre information qui doit être conservée d'une requête à l'autre.

Les sessions peuvent être stockées sur le serveur, ou au niveau du navigateur. Les sessions peuvent aussi être chiffrées pour une sécurité accrue. Ces fonctionnalités sont réparties entre différents modules complémentaires de mod_session : mod_session_crypto, mod_session_cookie et mod_session_dbd. Chargez les modules appropriés en fonction des besoins du serveur (soit statiquement à la compilation, soit dynamiquement via la directive LoadModule).

Les sessions peuvent être manipulées par d'autres modules qui dépendent de la session, ou la session peut être lue et écrite dans des variables d'environnement et des en-têtes HTTP, selon les besoins.

Sujets

Directives

Traitement des bugs

Voir aussi

top

Qu'est-ce qu'une session ?

Au coeur de l'interface de session se trouve une table de paires clé/valeur qui sont accessibles d'une requête du navigateur à l'autre. Les valeurs de clés peuvent se voir affecter toute chaîne valide, en fonction des besoins de l'application qui fait usage de la session.

Une "session" est une chaîne application/x-www-form-urlencoded qui contient la paire clé/valeur définie par la specification HTML.

Selon les souhaits de l'administrateur, la session peut être chiffrée et codée en base64 avant d'être soumise au dispositif de stockage.

top

Qui peut utiliser une session ?

L'interface de session a été conçue à l'origine pour être utilisée par d'autres modules du serveur comme mod_auth_form ; les applications à base de programmes CGI peuvent cependant se voir accorder l'accès au contenu d'une session via la variable d'environnement HTTP_SESSION. Il est possible de modifier et/ou de mettre à jour une session en insérant un en-tête de réponse HTTP contenant les nouveaux paramètres de session.

top

Stockage des sessions sur le serveur

Apache peut être configuré pour stocker les sessions utilisateurs sur un serveur particulier ou un groupe de serveurs. Cette fonctionnalité est similaire aus sessions disponibles sur les serveurs d'applications courants.

Selon la configuration, les sessions sont suivies à partir d'un identifiant de session stocké dans un cookie, ou extrait de la chaîne de paramètres de l'URL, comme dans les requêtes GET courantes.

Comme le contenu de la session est stocké exclusivement sur le serveur, il est nécessaire de préserver la confidentialité de ce contenu. Ceci a des implications en matière de performance et de consommation de ressources lorsqu'un grand nombre de sessions est stocké, ou lorsqu'un grand nombre de serveurs doivent se partager les sessions entre eux.

Le module mod_session_dbd permet de stocker les sessions utilisateurs dans une base de données SQL via le module mod_dbd.

top

Stockage des sessions au niveau du navigateur

Dans les environnements à haut trafic où le stockage d'une session sur un serveur consomme trop de ressources, il est possible de stocker le contenu de la session dans un cookie au niveau du navigateur client.

Ceci a pour avantage de ne nécessiter qu'une quantité minimale de ressources sur le serveur pour suivre les sessions, et évite à plusieurs serveurs parmi une forêt de serveurs de devoir partager les informations de session.

Le contenu de la session est cependant présenté au client, avec pour conséquence un risque de perte de confidentialité. Le module mod_session_crypto peut être configuré pour chiffrer le contenu de la session avant qu'elle soit stockée au niveau du client.

Le module mod_session_cookie permet de stocker les sessions au niveau du navigateur dans un cookie HTTP.+

top

Exemples simples

La création d'une session consiste simplement à ouvrir la session, et à décider de l'endroit où elle doit être stockée. Dans l'exemple suivant, la session sera stockée au niveau du navigateur, dans un cookie nommé session.

Session stockée au niveau du navigateur

Session On
SessionCookieName session path=/

Une session est inutile s'il n'est pas possible d'y lire ou d'y écrire. L'exemple suivant montre comment des valeurs peuvent être injectées dans une session à l'aide d'un en-tête de réponse HTTP prédéterminé nommé X-Replace-Session.

Ecriture dans une session

Session On
SessionCookieName session path=/
SessionHeader X-Replace-Session

L'en-tête doit contenir des paires clé/valeur sous le même format que celui de la chaîne d'argument d'une URL, comme dans l'exemple suivant. Donner pour valeur à une clé la chaîne vide a pour effet de supprimer la clé de la session.

Script CGI pour écrire dans une session

#!/bin/bash
echo "Content-Type: text/plain"
echo "X-Replace-Session: key1=foo&key2=&key3=bar"
echo
env

Selon la configuration, les informations de la session peuvent être extraites de la variable d'environnement HTTP_SESSION. Par défaut la session est privée, et cette fonctionnalité doit donc être explicitement activée via la directive SessionEnv.

Lecture depuis une session

Session On
SessionEnv On
SessionCookieName session path=/
SessionHeader X-Replace-Session

Une fois la lecture effectuée, la variable CGI HTTP_SESSION doit contenir la valeur clé1=foo&clé3=bar.

top

Confidentialité des sessions

En utilisant la fonctionnalité de votre navigateur "Afficher les cookies", vous pouvez voir une réprésentation de la session sous forme de texte en clair. Ceci peut poser problème si le contenu de la session doit être dissimulé à l'utilisateur final, ou si un tiers accède sans autorisation aux informations de session.

A ce titre, le contenu de la session peut être chiffré à l'aide du module mod_session_crypto avant d'être stocké au niveau du navigateur.

Session chiffrée avant stockage au niveau du navigateur

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/

La session sera automatiquement déchiffrée à la lecture, et rechiffrée par Apache lors de la sauvegarde, si bien que l'application sous-jacente qui utilise la session n'a pas à se préoccuper de savoir si un chiffrement a été mis en oeuvre ou non.

Les sessions stockées sur le serveur plutôt qu'au niveau du navigateur peuvent aussi être chiffrées, préservant par là-même la confidentialité lorsque des informations sensibles sont partagées entre les serveurs web d'une forêt de serveurs à l'aide du module mod_session_dbd.

top

Confidentialité du cookie

Le mécanisme de cookie HTTP offre aussi des fonctionnalités quant à la confidentialité, comme la possibilité de restreindre le transport du cookie aux pages protégées par SSL seulement, ou l'interdiction pour les scripts java qui s'exécutent au niveau du navigateur d'obtenir l'accès au contenu du cookie.

Avertissement

Certaines fonctionnalités de confidentialité du cookie HTTP ne sont pas standardisées, ou ne sont pas toujours implémentées au niveau du navigateur. Les modules de session vous permettent de définir les paramètres du cookie, mais il n'est pas garanti que la confidentialité sera respectée par le navigateur. Si la sécurité est la principale préoccupation, chiffrez le contenu de la session avec le module mod_session_crypto, ou stockez la session sur le serveur avec le module mod_session_dbd.

Les paramètres standards du cookie peuvent être spécifiés après le nom du cookie comme dans l'exemple suivant :

Définition des paramètres du cookie

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/private;domain=example.com;httponly;secure;

Dans les cas où le serveur Apache sert de frontal pour des serveurs d'arrière-plan, il est possible de supprimer les cookies de session des en-têtes HTTP entrants à l'aide de la directive SessionCookieRemove. Ceci permet d'empêcher les serveurs d'arrière-plan d'accéder au contenu des cookies de session.

top

Support des sessions pour l'authentification

Comme il est possible de le faire avec de nombreux serveurs d'applications, les modules d'authentification peuvent utiliser une session pour stocker le nom d'utilisateur et le mot de passe après connexion. Le module mod_auth_form par exemple, sauvegarde les nom de connexion et mot de passe de l'utilisateur dans une session.

Authentification à base de formulaire

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/
AuthFormProvider file
AuthUserFile "conf/passwd"
AuthType form
AuthName "realm"
#...

Pour la documentation et des exemples complets, voir le module mod_auth_form.

top

Intégration des sessions avec les applications externes

Pour que les sessions soient utiles, leur contenu doit être accessible aux applications externes, et ces dernières doivent elles-mêmes être capables d'écrire une session.

L'exemple type est une application qui modifie le mot de passe d'un utilisateur défini par mod_auth_form. Cette application doit pouvoir extraire les nom d'utilisateur et mot de passe courants de la session, effectuer les modifications demandées, puis écrire le nouveau mot de passe dans la session, afin que la transition vers le nouveau mot de passe soit transparente.

Un autre exemple met en jeu une application qui enregistre un nouvel utilisateur pour la première fois. Une fois l'enregistrement terminé, le nom d'utilisateur et le mot de passe sont écrits dans la session, fournissant là aussi une transition transparente.

Modules Apache
Selon les besoins, les modules du serveur peuvent utiliser l'API mod_session.h pour lire et écrire dans les sessions. Les modules tels que mod_auth_form utilisent ce mécanisme.
Programmes CGI et langages de script
Les applications qui s'exécutent au sein du serveur web peuvent éventuellement extraire la valeur de la session de la variable d'environnement HTTP_SESSION. La session doit être codée sous la forme d'une chaîne application/x-www-form-urlencoded selon les préconisations de la specification HTML. Cette variable d'environnement est définie via la directive SessionEnv. Un script peut écrire dans la session en renvoyant un en-tête de réponse application/x-www-form-urlencoded dont le nom est défini via la directive SessionHeader. Dans les deux cas, tout chiffrement ou déchiffrement, ainsi que la lecture ou l'écriture de ou vers la session à partir du mécanisme de stockage choisi sont gérés par le module mod_session et la configuration correspondante.
Applications situées derrière mod_proxy
Si la directive SessionHeader est utilisée pour définir un en-tête de requête HTTP, la session codée sous la forme d'une chaîne application/x-www-form-urlencoded sera accessible pour l'application. Si ce même en-tête est fourni dans la réponse, sa valeur sera utilisée pour remplacer la session. Comme précédemment, tout chiffrement ou déchiffrement, ainsi que la lecture ou l'écriture de ou vers la session à partir du mécanisme de stockage choisi sont gérés par le module mod_session et la configuration correspondante.
Applications indépendantes
Les applications peuvent choisir de manipuler la session en s'affranchissant du contrôle du serveur HTTP Apache. Dans ce cas, c'est l'application qui doit prendre en charge la lecture de la session depuis le mécanisme de stockage choisi, son déchiffrement, sa mise à jour, son chiffrement et sa réécriture vers le mécanisme de stockage choisi de manière appropriée.
top

Directive Session

Description:Enables a session for the current directory or location
Syntaxe:Session On|Off
Défaut:Session Off
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The Session directive enables a session for the directory or location container. Further directives control where the session will be stored and how privacy is maintained.

top

Directive SessionEnv

Description:Control whether the contents of the session are written to the HTTP_SESSION environment variable
Syntaxe:SessionEnv On|Off
Défaut:SessionEnv Off
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

If set to On, the SessionEnv directive causes the contents of the session to be written to a CGI environment variable called HTTP_SESSION.

The string is written in the URL query format, for example:

key1=foo&key3=bar

top

Directive SessionExclude

Description:Define URL prefixes for which a session is ignored
Syntaxe:SessionExclude path
Défaut:none
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The SessionExclude directive allows sessions to be disabled relative to URL prefixes only. This can be used to make a website more efficient, by targeting a more precise URL space for which a session should be maintained. By default, all URLs within the directory or location are included in the session. The SessionExclude directive takes precedence over the SessionInclude directive.

Warning

This directive has a similar purpose to the path attribute in HTTP cookies, but should not be confused with this attribute. This directive does not set the path attribute, which must be configured separately.

top

Directive SessionExpiryUpdateInterval

Description:Define the number of seconds a session's expiry may change without the session being updated
Syntaxe:SessionExpiryUpdateInterval interval
Défaut:SessionExpiryUpdateInterval 0 (always update)
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The SessionExpiryUpdateInterval directive allows sessions to avoid the cost associated with writing the session each request when only the expiry time has changed. This can be used to make a website more efficient or reduce load on a database when using mod_session_dbd. The session is always written if the data stored in the session has changed or the expiry has changed by more than the configured interval.

Setting the interval to zero disables this directive, and the session expiry is refreshed for each request.

This directive only has an effect when combined with SessionMaxAge to enable session expiry. Sessions without an expiry are only written when the data stored in the session has changed.

Warning

Because the session expiry may not be refreshed with each request, it's possible for sessions to expire up to interval seconds early. Using a small interval usually provides sufficient savings while having a minimal effect on expiry resolution.

top

Directive SessionHeader

Description:Import session updates from a given HTTP response header
Syntaxe:SessionHeader header
Défaut:none
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The SessionHeader directive defines the name of an HTTP response header which, if present, will be parsed and written to the current session.

The header value is expected to be in the URL query format, for example:

key1=foo&key2=&key3=bar

Where a key is set to the empty string, that key will be removed from the session.

top

Directive SessionInclude

Description:Define URL prefixes for which a session is valid
Syntaxe:SessionInclude path
Défaut:all URLs
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The SessionInclude directive allows sessions to be made valid for specific URL prefixes only. This can be used to make a website more efficient, by targeting a more precise URL space for which a session should be maintained. By default, all URLs within the directory or location are included in the session.

Warning

This directive has a similar purpose to the path attribute in HTTP cookies, but should not be confused with this attribute. This directive does not set the path attribute, which must be configured separately.

top

Directive SessionMaxAge

Description:Define a maximum age in seconds for a session
Syntaxe:SessionMaxAge maxage
Défaut:SessionMaxAge 0
Contexte:configuration du serveur, serveur virtuel, répertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

The SessionMaxAge directive defines a time limit for which a session will remain valid. When a session is saved, this time limit is reset and an existing session can be continued. If a session becomes older than this limit without a request to the server to refresh the session, the session will time out and be removed. Where a session is used to stored user login details, this has the effect of logging the user out automatically after the given time.

Setting the maxage to zero disables session expiry.

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.