Servidor webservice possui métodos de login e logout . então, nada de phase listener etc e tal

Oi.

Estamos falando em JAAS ?
A realidade é que você precisa realizar uma análise da necessidade do teu sistema. Qualquer um pode acessar a URL dele e enviar uma requisição ao WS, mesmo que o WS exiga autenticação ?

Se este for o caso é uma possibilidade de você permitir livre acesso ao seu sistema, mas, se por algum motivo o teu sistema WEB exige algum tipo de autenticação, seja lá qual for o motivo, ai tu terá de tomar medidas de segurança no que diz respeito ao acesso.

Olá nel,

Pois bem, trata-se de um portal para os representantes de vendas incluirem e acompanharem seus pedidos. Poderão acessá-lo via web. O servidor de webservice não está acessível via web, apenas na rede interna, onde estará o servidor GlassFish, possibilitando a comunicação externa.

Necessito criar agora um novo front usando JSF 2.0 . Não sei se seria necessário usar JAAS no caso de consumir este webservice, pois como havia lhe dito, este webservice possui métodos de login e logout. Resta saber que medidas de segurança tenho que tomar do lado do consumo dos serviços em JSF 2.0.

Vicente

vicentedepaula:

Olá nel,

Pois bem, trata-se de um portal para os representantes de vendas incluirem e acompanharem seus pedidos. Poderão acessá-lo via web. O servidor de webservice não está acessível via web, apenas na rede interna, onde estará o servidor GlassFish, possibilitando a comunicação externa.

Necessito criar agora um novo front usando JSF 2.0 . Não sei se seria necessário usar JAAS no caso de consumir este webservice, pois como havia lhe dito, este webservice possui métodos de login e logout. Resta saber que medidas de segurança tenho que tomar do lado do consumo dos serviços em JSF 2.0.

Vicente

Oi Vicente,

é justamente disso que se trata. Acredito eu que este serviço web esteja disponível a qualquer um, apenas se for um HTTPS para que isso não aconteça. Provavelmente por isso exige um login e logout, mas enfim. A questão é como o teu sistema irá acessar esse serviço Web. Eu fiz parte de uma equipe que construiu um sistema WEB em JSF também, usava JAAS e acessava serviço WEB.

Isso só acontecia quando era clicado em um determinado link (havia outro momentos mas não vem ao caso) e somente após isto o serviço era acionado. O que eu quero dizer, é que o sistema só faria o acesso ao serivço WEB após o login obrigatório do usuário do sistema, entende ?

Então você deve pensar se o teu cliente acesso o serivço web fazendo ou não o login em teu sistema
Abraços.

nel,

A 1ª tela em JSF: tela de login. O user e a password serão enviadas ao servidor webservice, por intermédio de um consumo pelo JAX-WS. A resposta positiva trará a informação do USERCODE, o qual será usado a partir de agora para consumir os demais serviços/métodos deste webservice, em outras páginas em JSF, até a chamada do método logout, que também precisa deste USERCODE. Caso a resposta seja negativa, o usuário permanecerá na tela de login.

Não entendo quando vc fala “login no sistema”. A única forma de login que vejo é esta, via web service. Este webservice funciona da seguinte forma: se não se logar primeiro nele, não se consegue utilizar outros serviços.

Li sobre JAAS aqui http://www.guj.com.br/articles/184 e pelo que deu a entender, não tenho necessidade. Mas, daí, vem a pergunta: estou certo ? Existe algo a mais além do JAAS que eu deva estudar ? Vou ter que usar o JAAS ?

Era exatamente isso que eu queria saber. O login no teu sistema é via WS e não em um banco de dados, como é comum.
Perfeito !

Então, o JAAS faz o controle de permissão e acesso as páginas, isso evita que alguém acesse uma página do teu sistema simplesmente passando uma URL, por exemplo.
Imagina um Servlet com o método GET e eu passo a URL completa e tento inserir códigos e/ou logins inexistentes. Basicamente, a implementação do JAAS busca barrar esse tipo de acesso, sendo que só será possível após uma autenticação.

Existe o PhaseListener, que também atua dessa forma. Eu nesses anos, só trabalhei com JAAS mesmo, portanto, não serei eu a te explicar algo sobre o PhaseListener.

PhaseListener: http://www.edsongoncalves.com.br/category/javaserver-faces-2-0/

De qualquer forma Vicente, você precisa buscar um meio de barrar que um usuário acesse páginas do teu sistema digitando diretamente a URL, sem ter feito o login. Como tu vai fazer isso ? Fica a teu critério, JAAS, PhaseListener, “no braço”, ai é decisão sua. Eu particularmente, recomendo JAAS, mas dá uma lida sobre PhaseListener, talvez resolva sua necessidade de forma rápida, fácil e simples

Forte abraço.

Valeu nel !!!

Vou estudar qual deles irei usar!

Obrigado pelo apoio!

Vicente