Pessoal,
Estava estudando sobre segurança de aplicação na web e percebi que a própria especificação J2EE já dá suporte a alguns critérios de segurança, como autenticação, autorização, confidencialidade e integridade dos dados (os dois últimos sendo tratados como transporte seguro de dados, através de https).
Pois bem, até onde estudei, percebi que nem tudo relacionado a segurança fica apenas na aplicação (no web.xml). Até onde aprendi, é necessário que os papéis (tipos de usuários) sejam configurados em algum arquivo de configuração que depende do container. Então surgiram algumas perguntas:
-
Não tem como eu utilizar a solução de segurança (relacionados a autenticação e autorização) de J2EE de modo que eu não dependa de container? Ou seja, se hoje a aplicação tá no Tomcat e eu precisar migrar pra o JBoss, vou precisar configurar os papéis de segurança também no JBoss?
-
É possível alimentar os papéis dinamicamente, sem precisar restartar o servidor? Algo como fazer um sistema que cadastre os perfis e usuários e os mesmos já possam começar a logar no sistema, sem precisar restartar o servidor.
-
É possível distinguir uma solicitação feita quando digitamos uma URL de uma solicitação implícita que o browser faz? Exemplo: no servidor tem um arquivo funcoesJavascript.js que é importada em uma página no servidor… Tem duas formas de lermos esse arquivo do lado do cliente:
a) um usuário digita o caminho da url do arquivo e pode baixá-lo e ler seu conteúdo;
b) o browser, implicitamente, vai buscar esse arquivo quando precisar rodar alguma função javascript.
No fim das contas essas funções são diferentes de modo que eu consiga restringir o acesso para usuários mas não restringir para o navegador ou isso não é possível?
[]'s
