Segurança no Tomcat

azevedo, oq tu quer fazer é criar roles e usuários no Tomcat?? Humm… eu nunca achei isso muito legal, sempre preferi fazer isso em banco, … bom, na própria documentação do tomcat tu encontra material com relação a isso, e no livro Head First - Jsp & Servlets tb tem alguma coisa…

Grande Matheus…

É exatamente isso que eu preciso e é exatamente este tipo de opnião que estou procurando. Ainda sou novato em desenvolvimento web e estou com muuuuitas dúvidas. Venho do desktop e ainda não tenho know how o suficiente para escolher algumas coisas. Vc já trabalhou com a segurança do tomcat?
Porque vc prefere no banco?
Se eu optar por usar a segurança do banco, vou ter que usar sessões ou cookies pra me auxiliar nesse controle ?
Vc pode me indicar alguma documentação sobre isso?

Mais uma vez obrigado, cara.

bem, eu ja vi vários exemplos de segurança implementada no container, tanto autenticação quanto autorização… O problema de implementar isso pelo container é q tu fica dependente dele, por ex, no Tomcat tu definiria Roles, digamos, admin, member e guest, e definiria usuários no tomcat… e é isso, no tomcat tu diria q usuários podem acessar q recursos da app, mas só com relação a arquivos! como jsp e url-patterns… e não a funcionalidades da app, entendeu? E outra, tu teria a tua lista de usuários num lugar (tomcat) e o sistema em outro (banco)… uma app engessada totalmente dependente de configurações XML no container… não me parece uma boa idéia (apesar de cair na SCWCD 1.4 muito sobre isso)…

e se vc usar a segurança no banco, sim, vc terá q trabalhar com o conceito de sessão, oq na minha opnião é preferível… tu teria uma tela de login q valida um usuário, se é válido, binda uma flag na sessão dele dizendo q ele esta logado… e testa em um Filter por ex se essa flag sempre existe qnd ele for tentar acessar algum recurso… bem, nao vou me extender muito, espero q tenha pego algo… com relação a material sobre segurança no tomcat, veja a documentação dele

Bom…

A autenticação via AplicationServer é muito boa e inclusive esta na especificação J2EE.
Existem várias formas de se fazer essa autenticação:

Basic - é aquela onde vc tem tudo no seu Application-Server, users, senhas, etc… É como funciona a autenticação do Tomcat quando vc instala ele.
Form-based - é aquela que vc desenvolve uma página de “login” porém quem controla a autenticação é o container e não vc. Vc apenas precisa configurar algumas coisas como BD, username, … porém vc precisa seguir um padrão.
Manual - (precisa explicar??)

A Form-based é a mais indicada para se usar… e Bem segura, e ótima. Vale a pena dar uma lida emcomo fazer isso. Na própria revista da Java Magazine tem sobre isso ai. Abaixo vão alguns links legais sobre isso.

http://www.onjava.com/pub/a/onjava/2002/06/12/form.html
http://java.sun.com/products/jaas/
http://java.sun.com/j2ee/sdk_1.2.1/techdocs/guides/ejb/html/Client3.html#11072
http://www.onjava.com/pub/a/onjava/2002/06/12/form.html

Abraços!

ahhh acho qeu nãio deixei bem claro tbm, que a autenticação form-based vc pode implementar uma tela de login, ou deixar aparecer aquela popup do seu browser, e a autenticação pode ser feita em qqr tipo de base como: Banco de dados Relacional, BDOO, LDAP, XML, etc.

Basta ver qual a forma que melhor se aplica ao seu caso.

abraços!

Valeu galera !!!
Vou analisar e fazer muuuuuuitos testes…