Olá, estou começando a estudar um pouco a parte de segurança na web.
Dei uma lida em acegi e em JAAS(tem até um tutorial aqui no GUJ)
Estou usando Java Server Faces e procuro fazer autenticação e restrição de usuários.
Parece que o JAAS é o mais indicado, mas quero ouvir a opinião de vocês.
Existe alguma terceira biblioteca responsável pela segurança em java?
vc esta usando spring na sua aplicação? se estiver pode usar acegi, porque acegi integra ao JAAS tbm…
caso contrario o JAAS atende tem tbm…
depende do seu projeto, ambos são bons de usar…
se quiser segurança declarativa com JAAS
http://www.paulovittor23.org/?p=15
esse cara tem um exemplo bem legal.
abs
Eu vi o tutorial aqui do GUJ, e o link que o colega de cima recomendou, porém ainda não foi suficiente para eu entender bem o funcionamento do JAAS e aplicá-lo na minha aplicação.
Alguém recomenda algum material, mesmo que seja em livros ou qualquer outra coisa?
Leozin
Fevereiro 20, 2008, 3:17pm
#5
olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…
se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe
[quote=Leozin]olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…
se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe[/quote]
seria um boa.
http://weblogs.java.net/blog/edburns/archive/2006/03/repost_using_ja.html
Estou tentando seguir esse tutorial para conseguir implementar o jaas no jsf, mas estou tendo problemas…
[code]
Principal - Qualquer usuário pode acessar
consulta por propostas
/paginas/principal.html
vendedor
administrador
Cadastrar Cliente - Somente Administrador
cadastrar cliente
/paginas/cadastroCliente.html
administrador
<security-role>
<description>Vendedor</description>
<role-name>vendedor</role-name>
</security-role>
<security-role>
<description>Administrador</description>
<role-name>administrador</role-name>
</security-role>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>default</realm-name>
<form-login-config>
<form-login-page>/paginas/index.html</form-login-page>
<form-error-page>/paginas/erro.html</form-error-page>
</form-login-config>
</login-config> [/code]
eu não consigo ser redirecionado para a página correta depois q ele valida o login
// Subject must not be null, since authentication succeeded
assert (null != jaasHelper.getSubject());
// Put the authenticated subject in the session.
context.getExternalContext().getSessionMap().put("JAASSubject",
jaasHelper.getSubject());
if(userid.equals("vendedor") && password.equals("1234"))
{
try
{
ExternalContext ec = context.getExternalContext();
HttpServletResponse resp = (HttpServletResponse) ec.getResponse();
resp.sendRedirect("principal.html");
}
catch (IOException ex)
{
ex.printStackTrace();
}
}
}
}
parent.processAction(event);
alguém me ajuda? T-T
[quote=Leozin]olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…
se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe[/quote]
Seria uma atitude louvável… :lol:
rs rs rs… iria ajudar muito a comunidde
to tentando entende-lo, com um tuto seria
muito mais facil…
Aguardo… boa sorte…
FLwS
Eu não achei nada, absolutamente nada que explicasse direito como implementar o jaas em jsf.
O artigo que tem aqui no guj é bom, mas to com dificuldade de transformar isso de servlet para jsf.
O ruim desse acegi é que eu vou ter que adicionar as bibliotecas do spring e vai zonear minha aplicação.
inferno total ahahhauheuahe
Já considerou usar uma ACL e implementar algo simples? Não sei o seu caso mas talvez você não precise disso tudo. Eu particularmente não gosto muito da solução JAAS.
Aonde eu acho algo falando sobre ACL? Até agora eu não sabia da existência dessa opção.
An access control list (ACL), with respect to a computer file system, is a list of permissions attached to an object. An ACL specifies which users or system processes are granted access to objects, as well as what operations are allowed on given objects. Each entry in a typical ACL specifies a subject and an operation. For instance, if a file object has an ACL that contains (Alice: read,write; Bob: read), this would give Alice permission to read and write the file and Bob to only read it.
Many...
In computer systems security, role-based access control (RBAC) or role-based security is an approach to restricting system access to authorized users. It is used by the majority of enterprises with more than 500 employees, and can implement mandatory access control (MAC) or discretionary access control (DAC).
Role-based-access-control (RBAC) is a policy neutral access control mechanism defined around roles and privileges. The components of RBAC such as role-permissions, user-role and role-role ...