Arquivo Discussoes de Programacao e Tecnologia 
Olá, estou começando a estudar um pouco a parte de segurança na web.
Dei uma lida em acegi e em JAAS(tem até um tutorial aqui no GUJ)
Estou usando Java Server Faces e procuro fazer autenticação e restrição de usuários.
Parece que o JAAS é o mais indicado, mas quero ouvir a opinião de vocês.
Existe alguma terceira biblioteca responsável pela segurança em java?
vc esta usando spring na sua aplicação? se estiver pode usar acegi, porque acegi integra ao JAAS tbm…
caso contrario o JAAS atende tem tbm…
depende do seu projeto, ambos são bons de usar…
se quiser segurança declarativa com JAAS
http://www.paulovittor23.org/?p=15
esse cara tem um exemplo bem legal.
abs
Eu vi o tutorial aqui do GUJ, e o link que o colega de cima recomendou, porém ainda não foi suficiente para eu entender bem o funcionamento do JAAS e aplicá-lo na minha aplicação.
Alguém recomenda algum material, mesmo que seja em livros ou qualquer outra coisa?
olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…
se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe
olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe
seria um boa.
http://weblogs.java.net/blog/edburns/archive/2006/03/repost_using_ja.html
Estou tentando seguir esse tutorial para conseguir implementar o jaas no jsf, mas estou tendo problemas...
<security-constraint>
<display-name>Principal - Qualquer usuário pode acessar</display-name>
<web-resource-collection>
<web-resource-name>consulta por propostas</web-resource-name>
<url-pattern>/paginas/principal.html</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>vendedor</role-name>
<role-name>administrador</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<display-name>Cadastrar Cliente - Somente Administrador</display-name>
<web-resource-collection>
<web-resource-name>cadastrar cliente</web-resource-name>
<url-pattern>/paginas/cadastroCliente.html</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>administrador</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<description>Vendedor</description>
<role-name>vendedor</role-name>
</security-role>
<security-role>
<description>Administrador</description>
<role-name>administrador</role-name>
</security-role>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>default</realm-name>
<form-login-config>
<form-login-page>/paginas/index.html</form-login-page>
<form-error-page>/paginas/erro.html</form-error-page>
</form-login-config>
</login-config>
eu não consigo ser redirecionado para a página correta depois q ele valida o login
// Subject must not be null, since authentication succeeded
assert (null != jaasHelper.getSubject());
// Put the authenticated subject in the session.
context.getExternalContext().getSessionMap().put("JAASSubject",
jaasHelper.getSubject());
if(userid.equals("vendedor") && password.equals("1234"))
{
try
{
ExternalContext ec = context.getExternalContext();
HttpServletResponse resp = (HttpServletResponse) ec.getResponse();
resp.sendRedirect("principal.html");
}
catch (IOException ex)
{
ex.printStackTrace();
}
}
}
}
parent.processAction(event);
alguém me ajuda? T-T
olha estou aplicando ACEGI e “to conseguindo” me virar aos pouco…se vcs quiserem eu faço um tutorialzinho aqui do guj com acegi (se é que já não tem!) hehe
Seria uma atitude louvável… :lol:
rs rs rs… iria ajudar muito a comunidde
to tentando entende-lo, com um tuto seria
muito mais facil…
Aguardo… boa sorte…
FLwS
Eu não achei nada, absolutamente nada que explicasse direito como implementar o jaas em jsf.
O artigo que tem aqui no guj é bom, mas to com dificuldade de transformar isso de servlet para jsf.
O ruim desse acegi é que eu vou ter que adicionar as bibliotecas do spring e vai zonear minha aplicação.
inferno total ahahhauheuahe
Já considerou usar uma ACL e implementar algo simples? Não sei o seu caso mas talvez você não precise disso tudo. Eu particularmente não gosto muito da solução JAAS.
Aonde eu acho algo falando sobre ACL? Até agora eu não sabia da existência dessa opção.