Pessoal,
Alguém pode me indicar um tutorial sobre segurança no tomcat? Eu li um artigo na javamagazine, mas algumas coisas ainda ficaram obscuras pra mim. Preciso me aprofundar mais.
Obrigado
Pessoal,
Alguém pode me indicar um tutorial sobre segurança no tomcat? Eu li um artigo na javamagazine, mas algumas coisas ainda ficaram obscuras pra mim. Preciso me aprofundar mais.
Obrigado
azevedo, oq tu quer fazer é criar roles e usuários no Tomcat?? Humm… eu nunca achei isso muito legal, sempre preferi fazer isso em banco, … bom, na própria documentação do tomcat tu encontra material com relação a isso, e no livro Head First - Jsp & Servlets tb tem alguma coisa…
Grande Matheus…
É exatamente isso que eu preciso e é exatamente este tipo de opnião que estou procurando. Ainda sou novato em desenvolvimento web e estou com muuuuitas dúvidas. Venho do desktop e ainda não tenho know how o suficiente para escolher algumas coisas. Vc já trabalhou com a segurança do tomcat?
Porque vc prefere no banco?
Se eu optar por usar a segurança do banco, vou ter que usar sessões ou cookies pra me auxiliar nesse controle ?
Vc pode me indicar alguma documentação sobre isso?
Mais uma vez obrigado, cara.
bem, eu ja vi vários exemplos de segurança implementada no container, tanto autenticação quanto autorização… O problema de implementar isso pelo container é q tu fica dependente dele, por ex, no Tomcat tu definiria Roles, digamos, admin, member e guest, e definiria usuários no tomcat… e é isso, no tomcat tu diria q usuários podem acessar q recursos da app, mas só com relação a arquivos! como jsp e url-patterns… e não a funcionalidades da app, entendeu? E outra, tu teria a tua lista de usuários num lugar (tomcat) e o sistema em outro (banco)… uma app engessada totalmente dependente de configurações XML no container… não me parece uma boa idéia (apesar de cair na SCWCD 1.4 muito sobre isso)…
e se vc usar a segurança no banco, sim, vc terá q trabalhar com o conceito de sessão, oq na minha opnião é preferível… tu teria uma tela de login q valida um usuário, se é válido, binda uma flag na sessão dele dizendo q ele esta logado… e testa em um Filter por ex se essa flag sempre existe qnd ele for tentar acessar algum recurso… bem, nao vou me extender muito, espero q tenha pego algo… com relação a material sobre segurança no tomcat, veja a documentação dele
Bom…
A autenticação via AplicationServer é muito boa e inclusive esta na especificação J2EE.
Existem várias formas de se fazer essa autenticação:
Basic - é aquela onde vc tem tudo no seu Application-Server, users, senhas, etc… É como funciona a autenticação do Tomcat quando vc instala ele.
Form-based - é aquela que vc desenvolve uma página de “login” porém quem controla a autenticação é o container e não vc. Vc apenas precisa configurar algumas coisas como BD, username, … porém vc precisa seguir um padrão.
Manual - (precisa explicar??)
A Form-based é a mais indicada para se usar… e Bem segura, e ótima. Vale a pena dar uma lida emcomo fazer isso. Na própria revista da Java Magazine tem sobre isso ai. Abaixo vão alguns links legais sobre isso.
http://www.onjava.com/pub/a/onjava/2002/06/12/form.html
http://java.sun.com/products/jaas/
http://java.sun.com/j2ee/sdk_1.2.1/techdocs/guides/ejb/html/Client3.html#11072
http://www.onjava.com/pub/a/onjava/2002/06/12/form.html
Abraços!
ahhh acho qeu nãio deixei bem claro tbm, que a autenticação form-based vc pode implementar uma tela de login, ou deixar aparecer aquela popup do seu browser, e a autenticação pode ser feita em qqr tipo de base como: Banco de dados Relacional, BDOO, LDAP, XML, etc.
Basta ver qual a forma que melhor se aplica ao seu caso.
abraços!
Valeu galera !!!
Vou analisar e fazer muuuuuuitos testes…