WebSphere met en mémoire cache les informations utilisateur et les données d'identification dans son propre cache de sécurité. Le module de connexion Cúram n'est pas appelé tant qu'une entrée utilisateur est valide dans ce cache. La durée d'invalidation par défaut de ce cache de sécurité est de dix minutes, où l'utilisateur a été inactif pendant dix minutes.
Par exemple, la première fois qu'un utilisateur se connecte à l'application à partir du client Web, il doit entrer son nom d'utilisateur et son mot de passe. Le module de connexion Cúram est appelé et authentifie les informations indiquées. Si le même utilisateur ouvre un deuxième nouveau navigateur Web et tente d'accéder à l'application, il doit à nouveau entrer son nom d'utilisateur et son mot de passe. Lorsque WebSphere reçoit ces informations, il interroge le cache de sécurité pour déterminer si le nom d'utilisateur et le mot de passe existent déjà dans le cache. S'ils existent et que le mot de passe correspond, WebSphere n'interroge pas les modules de connexion.
L'impact de ce comportement est que les modifications apportées aux restrictions ou au mot de passe ne sont pas applicables tant que l'utilisateur n'est pas invalidé à partir du cache de sécurité WebSphere.
Pour plus d'informations, voir le Centre de documentation du serveur d'applications WebSphere.