Dois cenários.
O primeiro um conjunto de aplicações de uma determinada empresa que basicamente tem os funcionários todos no mesmo setor, e utilizam algo como um ERP só que separado.
O outro cenário uma única aplicação.
Qual melhor esquema para sistema de segurança nesses dois cenários?
Meio complicado essa sua explicação…
Mas de qualquer maneira, seria bom que toda sua regra de autenticação, autorização e auditoria ficasse no mesmo contexto, seja este uma aplicação ou uma funcionalidade, como LDAP, SingleSignOn, etc…
Existem diversas maneiras de vc montar um serviço de Autenticação. Exemplifique melhor seus exemplos, eles estão muito enrolados…
Digamos que no primeiro contexto eu quero um sistema de segurança “global”. Todas as aplicações de minha empresa usariam o mesmo sistema de segurança.
O segundo, é um sistema de segurança para uma única aplicação.
No primeiro cenário, o sistema de segurança pode ser um servidor LDAP, um web service,ou até mesmo um sistema web integrado com a aplicação (que em ambos cenários são contextos web).
No segundo cenário, o sistema de segurança pode fazer parte da aplicação, mas de que forma?
Experiências sobre como implementar um sistema de segurança, é isso que quero obter.Informações, experiências boas e ruins.
Valeu!
Bem, quando eu iniciei a construções dos produtos proprios da minha empresa, a primeira ferramenta foi um sistema que implementasse uma autenticação extensivel, facil de se aplicar e multi-sistemas, mas mono-empresa. Foi isso que eu contrui. Um SingleSignOn para aplicações de uma empresa baseado no modelo do NIST chamado RBAC.
Nesta aplicação vc usava uma unica estrutura de dados para autenticação, autorização e auditoria (fora outras coisas) para todas as aplicações da empresa, sejam elas web, desktop, plataforma baixa, alta, Java, .Net, Ruby, etc…
Acho que é isso que vc está falando, correto?
Exatamente isso.Para o caso de multi-ambientes,plataformas.
E gostaria também como construiria um sistema de segurança para uma aplicação web comum.
Com auditoria,autenticação,autorização…
Mas o que vc deseja realmente?!?
Vc quer um sistema pronto, vc quer dicas para vc contruir um, vc quer comprar um (isso muito me interessa, rs!)…
Dicas, idéias e experiências para poder avaliar um sistema do que você fez.
E sugetões e indicações para o caso de ser um único sistema integrado a aplicação.
JGuard ou JAAS…Alguém já teve boas experiências com estes frameworks?