Autenticação de usuário em sistema - qual é o ideal?

leitura recomendada

http://java.sun.com/javaee/5/docs/tutorial/doc/bnbxe.html

Segunda opção. A manutenção de permisoes é muito mais simples, vc pode definir permissões por funcionalidade, e não por tabela de banco, pode alterar essas permissões a todo momento, sem precisar acender velas pretas enquanto envia o email com as alterações pro DBA, e não tem essa falha de segurança, que vc mesmo já citou.

o que vc mencionou como desvantagem do segundo método, eu na verdarde vejo como vantagem. vc pode definir diversos roles e dar esses perfils a seus usuários, conforme a necessidade, além de poder criar roles diferentes para cada necessidade específica sua.

E ae Diego, blz?!

Então carinha, minha experiência na área é a seguinte:

Se o sistema é de médio acesso, para muitos acessos, o pessoal autentica pelo banco mesmo.

Agora se é um sistema que não é tão acessado ou não tem tantos usuarios cadastrados, o pessoal tem adotado criar Profile.

Eu a um tempo a traz fiz uma pequena manutenção em um sistema que tinha Spring Security, ele era bem legal, mas não tinham muitos usuários acesando ao mesmo tempo.

Bom, a minha experiência é essa, caso alguém mais queira relatar a sua, também vou prestar atenção nas respostas pq isso é um tema bem legal…

Abs();

Olá. Minha opinião é a seguinte: existem aqui dois conceitos que geralmente se confundem AUTENTICAÇÃO e AUTORIZAÇÃO. Resumindo temos que autenticação é o procedimento de verificar se um determinado usuário é válido dentro do contexto do aplicativo (sistema) em questão, enquanto autorização é (após autenticado) saber quais as responsabilidades (papéis ou permissões) que este usuário possui.
Tendo estes conceitos separados com certeza ficará mais fácil decidir pela melhor forma de implementação.
Minha experiência após vários anos de implantação de sistemas, não só no ambiente java/banco relacional, é que geralmente a “autenticação” é definida pelos administradores do ambiente (empresa/cliente) como um padrão adotados por eles e que seu sistema deve seguir.
Exemplo no caso de uma aplicação de uso restrito, ou seja, onde os usuários são conhecidos, se você vier com um sistema novo em que os usuários deverão ser cadastrados em um repositório exclusivo do seu sistema… os administradores vão torcer o nariz e perguntar: “mas não dá para usar o cadastro da empresa que já existe…” ou “meus usuários já estão definidos na rede” ou “o login dos usuários são os mesmos que tem acesso ao servidor” … etc.
Uma vez definido o processo de “autenticação”, a definição de “autorizações” destes usuários, o que eles podem fazer no seu sistema… poderá ser implementada da melhor forma que seu sistema puder fazer. Ou seja com os critérios próprios. Apesar de ser possível uma implementação corporativa usando um repositório LDAP ou algo similar.
Concluindo… seria bom que o seu sistema permitisse a configuração de autenticação e autorização a gosto do freguês.

ctdaa:

Olá. Minha opinião é a seguinte: existem aqui dois conceitos que geralmente se confundem AUTENTICAÇÃO e AUTORIZAÇÃO. Resumindo temos que autenticação é o procedimento de verificar se um determinado usuário é válido dentro do contexto do aplicativo (sistema) em questão, enquanto autorização é (após autenticado) saber quais as responsabilidades (papéis ou permissões) que este usuário possui.
Tendo estes conceitos separados com certeza ficará mais fácil decidir pela melhor forma de implementação.
Minha experiência após vários anos de implantação de sistemas, não só no ambiente java/banco relacional, é que geralmente a “autenticação” é definida pelos administradores do ambiente (empresa/cliente) como um padrão adotados por eles e que seu sistema deve seguir.
Exemplo no caso de uma aplicação de uso restrito, ou seja, onde os usuários são conhecidos, se você vier com um sistema novo em que os usuários deverão ser cadastrados em um repositório exclusivo do seu sistema… os administradores vão torcer o nariz e perguntar: “mas não dá para usar o cadastro da empresa que já existe…” ou “meus usuários já estão definidos na rede” ou “o login dos usuários são os mesmos que tem acesso ao servidor” … etc.
Uma vez definido o processo de “autenticação”, a definição de “autorizações” destes usuários, o que eles podem fazer no seu sistema… poderá ser implementada da melhor forma que seu sistema puder fazer. Ou seja com os critérios próprios. Apesar de ser possível uma implementação corporativa usando um repositório LDAP ou algo similar.
Concluindo… seria bom que o seu sistema permitisse a configuração de autenticação e autorização a gosto do freguês.

Isto porque eu fiz um resumo, heim… se você pegar os livros de J2EE tem um capítulo inteiro para falar de autenticação e outro capítulo para falar da autorização. Poderia colocar umas figurinhas para ilustar… huahuahauha

ctdaa:

Olá. Minha opinião é a seguinte: existem aqui dois conceitos que geralmente se confundem AUTENTICAÇÃO e AUTORIZAÇÃO. Resumindo temos que autenticação é o procedimento de verificar se um determinado usuário é válido dentro do contexto do aplicativo (sistema) em questão, enquanto autorização é (após autenticado) saber quais as responsabilidades (papéis ou permissões) que este usuário possui.
Tendo estes conceitos separados com certeza ficará mais fácil decidir pela melhor forma de implementação.
Minha experiência após vários anos de implantação de sistemas, não só no ambiente java/banco relacional, é que geralmente a “autenticação” é definida pelos administradores do ambiente (empresa/cliente) como um padrão adotados por eles e que seu sistema deve seguir.
Exemplo no caso de uma aplicação de uso restrito, ou seja, onde os usuários são conhecidos, se você vier com um sistema novo em que os usuários deverão ser cadastrados em um repositório exclusivo do seu sistema… os administradores vão torcer o nariz e perguntar: “mas não dá para usar o cadastro da empresa que já existe…” ou “meus usuários já estão definidos na rede” ou “o login dos usuários são os mesmos que tem acesso ao servidor” … etc.
Uma vez definido o processo de “autenticação”, a definição de “autorizações” destes usuários, o que eles podem fazer no seu sistema… poderá ser implementada da melhor forma que seu sistema puder fazer. Ou seja com os critérios próprios. Apesar de ser possível uma implementação corporativa usando um repositório LDAP ou algo similar.
Concluindo… seria bom que o seu sistema permitisse a configuração de autenticação e autorização a gosto do freguês.

Essa abordagem é bastante interessante, ctdaa. Eu estou usando ambos no sistema, mas com dúvidas quanto a segurança do primeiro:
AUTENTICAÇÃO: Então, neste caso, para a autenticação, eu usaria a que estivesse disponível no ambiente que o sistema opera. Se não houvesse uma, teria que utilizar a mais adequada e fácil para um dba manipular correto?
No meu caso, não há autenticação própria no ambiente do sistema. Nesta parte de autenticação, que eu fiquei em dúvida quanto a segurança, para saber se poderia cadastrar os usuários como usuários do BD diretamente (CREATE USER…)
AUTORIZAÇÃO: A parte de autorização, eu definiria por critérios próprios do programa, e acredito que a única forma possível de fazê-lo, é usando uma tabela com a definição dos perfis dos usuários (não consegui inserir colunas no tabela de users própria do banco para definir os perfis…ehehehe) - que o sistema reconhecerá para conceder autorizações a partes do sistema.