4.4 Caso de Estudio: Diseño e Implementación de la Capa Web de MiniPortal

Transcripción

1 4.4 Caso de Estudio: Diseño e Implementación de la Capa Web de MiniPortal

2 Introducción y Objetivo Qué es MiniPortal? Un portal con registro de usuarios y sin contenidos Arquitectura reusable para implementar un portal real con usuarios registrados Qué aporta MiniPortal frente a MiniBank? Gestión de sesiones y cookies Extensión del procesador de peticiones para Mantenimiento de la sesión Obligar a que las acciones que requieren autenticación sólo estén disponibles para los usuarios autenticados

3 Estructura de src/main (1) pojo-miniportal src/main java es.udc.pojo.miniportal model userprofile userservice util (Continúa en la siguiente transparencia) web components pages user services util

4 Estructura de src/main (y 2) pojo-miniportal src/main resources es/udc/pojo/miniportal/web components pages org/apache/tapestry5 user corelib components pages webapp css WEB-INF internal

5 Modelo de pojo-miniportal (1) es.udc.pojo.miniportal.model.userprofile.userprofile Modela la información de registro de un usuario Define un DAO, que extiende del genérico y utiliza Hibernate UserProfile - userprofileid : Long - loginname : String - encryptedpassword : String - firstname : String - lastname : String - String - version : long es.udc.pojo.miniportal.model.userservice.userservice Servicio que modela la interacción del usuario con el portal Registrar usuario Autenticarse Recuperar información de registro Actualizar información de registro Cambiar contraseña + Constructores + métodos get/set + métodos hashcode/equals

6 Modelo de pojo-miniportal (2) LoginResult - userprofileid : Long - firstname : String - encryptedpassword : String + Constructor + Métodos get UserProfileDetails - firstname : String - lastname : String - String + Constructor + Métodos get + Métodos hashcode/equals <<interface>> UserService + registeruser(loginname : String, clearpassword : String, userprofiledetails : UserProfileDetails) : Long + login(loginname : String, password : String, passwordisencrypted : boolean) : LoginResult + finduserprofiledetails(userprofileid : Long) : UserProfileDetails + updateuserprofiledetails(userprofileid : Long, userprofiledetails : UserProfileDetails) : void + changepassword(userprofileid : Long, oldclearpassword : String, newclearpassword : String) : void UserServiceImpl <<use>> PasswordEncrypter <<use>> jcrypt

7 Modelo de pojo-miniportal (3) Cuando un usuario se registra, introduce su contraseña en claro El portal no permite actualizar la contraseña y el resto de información de registro a través del mismo formulario, dado que las contraseñas se guardan cifradas Para cifrar las contraseñas se utiliza la clase es.udc.pojo.miniportal.model.userservice.util.passwordencrypter Las operaciones de registro de usuario y actualización de información de registro de la fachada trabajan con UserProfileDetails, que no incluye la contraseña

8 Modelo de pojo-miniportal (4) Por qué login devuelve LoginResult? userprofileid Se mantendrá en la sesión (caché), porque se necesita para invocar los casos de uso de búsqueda y actualización de información de usuario (su presencia en la sesión se utiliza para saber si un usuario está autenticado) firstname Se mantendrá en la sesión (caché), dado que se visualiza en todas las páginas Ocupa poca memoria encryptedpassword Si el usuario selecciona recordar mi contraseña, es preciso enviar su valor como cookie Por la misma razón que en login, el método register devuelve el userprofileid

9 Capa Web de pojo-miniportal (1) De forma similar a pojo-minibank, en pojominiportal todas las páginas tienen el mismo layout (se basan en el componente es.udc.pojo.miniportal.web.components.layout Título (tag title) Cabecera Mensaje Bienvenida [nombre usuario] - Nombre pantalla Enlaces Contenido Pie de página

10 Capa Web: Autenticación MiniPortal main page Clic en Authenticate MiniPortal authentication form

11 Capa Web: Registro MiniPortal registration form Clic en Register MiniPortal main page

12 Capa Web: Actualización de Datos User profile details form Clic en Change Password Change password form

13 Capa Web: Control de Errores (1)

14 Capa Web: Control de Errores (y 2) Autenticación Campos obligatorios Usuario existe y la contraseña es válida Registro Campos obligatorios Dirección de correo electrónico debe de cumplir una expresión regular Las dos contraseñas introducidas deben ser iguales El usuario no debe de existir Actualización Campos obligatorios Dirección de correo electrónico debe de cumplir una expresión regular Cambio de contraseña Campos obligatorios Las dos contraseñas introducidas como nuevas deben ser iguales La contraseña antigua debe de ser la correcta

15 Application State Objects (1) A diferencia de MiniBank, MiniPortal permite realizar diferentes operaciones en función de si hay o no un usuario autenticado Tapestry permite crear objetos que estén accesibles a todas las páginas: Application State Objects (ASOs) En MiniPortal hemos definido la clase UserSession, que contiene información de un usuario, necesaria una vez se ha autenticado/registrado Los ASOs típicamente tienen que tener un constructor sin argumentos (o con argumentos para inyectar servicios) Para hacer accesible ese objeto a una página en concreto, es necesario añadir una propiedad de ese tipo a la página correspondiente y anotarla Sólo puede haber un ASO por clase de objeto Es decir, cualquier página que declare una propiedad de la clase UserSession, anotándola referenciará al mismo objeto, aunque el nombre de la propiedad sea diferente

16 Application State Objects (2) Como cualquier otra propiedad de una página, es necesario definir métodos get para poder acceder a ella desde la plantilla Por defecto, los ASOs se almacenan en la Sesión Si no existe la Sesión cuando se referencia un ASO por primera vez, se crea Tapestry proporciona un mecanismo para determinar si un ASO ha sido creado, sin iniciar su creación Declarar una propiedad privada boolean con el mismo nombre que la propiedad del ASO + el token Exists Alternativamente, se puede permitir que el ASO sea nulo para que no se cree de forma automática al referenciarlo, utilizando el parámetro create=false en la anotación Tapestry contempla el uso de ASOs en un entorno en cluster

17 es.udc.pojo.miniportal.web.util.usersession public class UserSession { private Long userprofileid; private String firstname; public Long getuserprofileid() { return userprofileid; public void setuserprofileid(long userprofileid) { this.userprofileid = userprofileid; public String getfirstname() { return firstname; public void setfirstname(string firstname) { this.firstname = firstname;

18 es.udc.pojo.miniportal.web.components.layout public class @Parameter(required = false, defaultprefix = "message") private @Parameter(required = true, defaultprefix = "message") private @ApplicationState private private boolean usersessionexists; En función de si un usuario está autenticado o no, se mostrarán diferentes enlaces, el nombre del usuario y un mensaje

19 es.udc.pojo.miniportal.web.components.layout.tml... <t:if test="usersessionexists"> ${message:menu-hello ${usersession.firstname <t:parameter name="else"> ${message:menu-welcome </t:parameter> </t:if> </span> - <t:if test="menuexplanation"> <span id="menuexplanation"> ${menuexplanation </span> <t:parameter name="else"> <span id="menulinks"> <t:if test="usersessionexists"> <a href="#" t:type="pagelink t:page="user/updateprofile"> ${message:menu-updateprofile</a> - <a href="#" t:type="pagelink" t:page="user/logout"> ${message:menu-logout</a> <t:parameter name="else"> <a href="#" t:type="pagelink" t:page="user/login"> ${message:menu-authenticate</a> </t:parameter> </t:if> </span> </t:parameter> </t:if>...

20 Capa Web de pojo-miniportal Clic en Register user/register Clic en Authenticate user/login onvalidateform() onsuccess() onsuccess() onvalidateform() onactivate() Index (sin autenticar) Clic en Logout Index (autenticado) Clic en Update profile user/logout onprepareforrender() onvalidateform() user/updateprofile onsuccess() Clic en Change password onsuccess() user/changepassword onvalidateform()

21 Gestión de Cookies (1) En el tema 4.3 se comentó que Tapestry permitía almacenar de forma persistente el locale de un usuario utilizando cookies Para gestionar las cookies, Tapestry proporciona el servicio Cookies Permite leer el valor de cookies si existen, eliminar cookies y añadir nuevas Para hacer uso de este servicio sólo es necesario inyectarlo en la página que lo vaya a private Cookies cookies; Para gestionar las cookies hemos definido una clase utilidad, CookiesManager, que recibe como parámetro el servicio Cookies

22 es.udc.pojo.miniportal.web.util.cookiesmanager public class CookiesManager { private static final String LOGIN_NAME_COOKIE = "loginname"; private static final String ENCRYPTED_PASSWORD_COOKIE = "encryptedpassword"; private static final int REMEMBER_MY_PASSWORD_AGE = 30 * 24 * 3600; // 30 days in seconds public static void leavecookies(cookies cookies, String loginname, String encryptedpassword) { cookies.writecookievalue(login_name_cookie, loginname, REMEMBER_MY_PASSWORD_AGE); cookies.writecookievalue(encrypted_password_cookie, encryptedpassword, REMEMBER_MY_PASSWORD_AGE); public static void removecookies(cookies cookies) { cookies.removecookievalue(login_name_cookie); cookies.removecookievalue(encrypted_password_cookie); public static String getloginname(cookies cookies) { return cookies.readcookievalue(login_name_cookie); public static String getencryptedpassword(cookies cookies) { return cookies.readcookievalue(encrypted_password_cookie);

23 es.udc.pojo.miniportal.web.pages.user.login (1) public class Login private String private String private private UserSession private Cookies private Form private Messages private UserService userservice; private LoginResult loginresult = null;

24 es.udc.pojo.miniportal.web.pages.user.login (y 2) void onvalidateform() { if (!loginform.isvalid()) { return; try { loginresult = userservice.login(loginname, password, false); catch (InstanceNotFoundException e) { loginform.recorderror(messages. get("error-authenticationfailed")); catch (IncorrectPasswordException e) { loginform.recorderror(messages. get("error-authenticationfailed")); Object onsuccess() { usersession.setuserprofileid(loginresult.getuserprofileid()); usersession.setfirstname(loginresult.getfirstname()); if (remembermypassword) { CookiesManager.leaveCookies(cookies, loginname, loginresult.getencryptedpassword()); return Index.class;

25 es.udc.pojo.miniportal.web.pages.user.login.tml MiniPortal authentication form La plantilla de user/login hace uso del componente CheckBox... <div class="field"> <t:label for="remembermypassword"/> <span class="entry"> <input type="checkbox" t:type="checkbox" t:id="remembermypassword" /> </span> </div>...

26 es.udc.pojo.miniportal.web.pages.user.logout public class private UserSession private Cookies cookies; Object onactivate() { usersession = null; CookiesManager. removecookies(cookies); return Index.class; NOTA: La página user/logout no tiene plantilla asociada

27 Gestión de Cookies (2) MiniPortal utiliza dos cookies para recordar la contraseña de un usuario durante 30 minutos: loginname y encryptedpassword El método onvalidateform de la página user/login Valida las credenciales del usuario (método login de UserService) Inicializa la propiedad loginresult El método onsuccess de la página user/login envía las cookies al cliente (CookiesManager.leaveCookies) Obtiene la información de contraseña encriptada de la propiedad loginresult El método onactivate de la página Logout destruye el objeto usersession y borra las cookies (CookiesManager.removeCookies) Los métodos getloginname y getencryptedpassword de la clase CookiesManager son utilizados para recuperar el nombre y contraseña del usuario a partir de las cookies recibidas Más adelante se verá cómo se utilizan estos métodos para autenticar de forma automática a un usuario, sin necesidad de introducir nombre de usuario y contraseña, si el cliente posee las cookies loginname y encryptedpassword

28 Mantenimiento de Sesión y Control de Acceso a Recursos Problema 1: Mantenimiento de la sesión Cuando un usuario se ha autenticado chequeando recordar mi contraseña, cuando vuelva a acceder al portal debe de autenticarse de forma automática si le caducó la sesión y las cookies no han expirado Problema 2: Prohibir determinadas acciones a usuarios no autenticados Si un usuario no autenticado intenta acceder a las URLs de actualizar info. registro o cambiar contraseña, debería redirigírsele a la página de autenticación En este caso la interfaz de usuario no presenta estas opciones a un usuario no autenticado, pero podría ocurrir si no ha seleccionado recordar mi contraseña y su sesión ha caducado Portal de comercio electrónico Normalmente permiten que cualquier usuario busque y añada productos al carrito de la compra Cuando el usuario intenta comprar, si no se había autenticado, se le redirige a la página de autenticación

29 Gestión de Peticiones en Tapestry (1) Todas las peticiones de páginas de Tapestry pasan por el filtro de Tapestry configurado en el fichero web.xml Cuando el filtro de Tapestry recibe una nueva petición, obtiene el servicio HttpServletRequestHandler e invoca su método service(httpservletrequest request, HttpServletResponse response) Su objetivo es realizar la traducción de los objetos de la API de servlets a la API de Tapestry Almacena la request y la response en el servicio RequestGlobals Encapsula la request y la response mediante los servicios Tapestry Request y Response, y los pasa al servicio RequestHandler Servicio RequestHandler Trabaja a nivel de objetos propios de Tapestry, que encapsulan la API de servlets Incluye un conjunto de filtros predefinidos

30 Gestión de Peticiones en Tapestry (2) RequestHandler (cont) CheckForUpdatesFilter. Filtro responsable de recarga de clases (páginas y componentes) y plantillas que han cambiado LocalizationFilter. Filtro que obtiene el locale del usuario StaticFilesFilter. Filtro que comprueba la existencia en el servidor de ficheros estáticos, antes de enviar la petición al procesador de Tapestry RequestErrorFilter. Filtro que captura las excepciones generadas y no capturadas por los gestores de eventos de las páginas/componentes de Tapestry, y muestra la página de informe de excepciones. Delega en el servicio RequestExceptionHandler, que es el responsable de inicializar y mostrar la página org.apache.tapestry5.corelib.pages.exceptionreport

31 Gestión de Peticiones en Tapestry RequestHandler (cont) Si una petición pasa los filtros definidos, la redirige al servicio MasterDispatcher Servicio MasterDispatcher Implementa el patrón cadena de responsabilidad con comandos para analizar peticiones y procesarlas de forma adecuada Por defecto presenta los siguientes comandos, que se ejecutan en el orden especificado RootPath. Responsable de tratar las peticiones al contexto raíz como peticiones sobre la página Index Asset. Responsable de gestionar las peticiones a recursos asset, como imágenes, hojas de estilo o ficheros javascript PageRender. Responsable de gestionar peticiones a páginas de Tapestry. Es el responsable de tratar el contexto de activación de las páginas ComponentEvent. Responsable de gestionar eventos sobre páginas / componentes NOTA: Es posible añadir filtros a cualquiera de las secuencias comentadas, y también nuevos comandos al servicio MasterDispatcher

32 es.udc.pojo.miniportal.web.services.appmodule public class AppModule { public static void bind(servicebinder binder) { /* Bind dispatchers. */ binder.bind(sessiondispatcher.class).withid("sessiondispatcher"); binder.bind(authenticationdispatcher.class). withid("authenticationdispatcher");... public void contributemasterdispatcher( OrderedConfiguration<Dispatcher> Dispatcher Dispatcher authenticationdispatcher) { /* Add dispatchers to the master Dispatcher service. */ configuration.add("sessiondispatcher", sessiondispatcher, "before:authenticationdispatcher"); configuration.add("authenticationdispatcher", authenticationdispatcher, "before:pagerender");

33 Extensión del MasterDispatcher Para solucionar los problemas 1 y 2, se ha extendido el servicio MasterDispatcher con dos nuevos comandos (servicios Dispatcher) Siguiendo los pasos comentados en el apartado 4.3, se ha modificado la clase Application Module Builder de la siguiente forma Se ha utilizado el método bind para crear y registrar los servicios Se ha añadido el método contributemasterdispatcher para modificar la configuración del MasterDispatcher, añadiendo los nuevos procesadores de peticiones antes del dispatcher PageRender y en el orden sessiondispatcher authenticationdispatcher Nótese que se han inyectado los nuevos servicios como argumentos del método, para poder añadirlos a la cadena de comandos que utilizará Tapestry

34 Problema 1 Mantenimiento de Sesión (1) public class SessionDispatcher implements Dispatcher { private ApplicationStateManager applicationstatemanager; private Cookies cookies; private UserService userservice; public SessionDispatcher( ApplicationStateManager applicationstatemanager, Cookies cookies, UserService userservice) { this.applicationstatemanager = applicationstatemanager; this.cookies = cookies; this.userservice = userservice; public boolean dispatch(request request, Response response) throws IOException { if (!applicationstatemanager.exists(usersession.class)) { String loginname = CookiesManager.getLoginName(cookies); if (loginname == null) { return false; String encryptedpassword = CookiesManager.getEncryptedPassword(cookies); if (encryptedpassword == null) { return false;

35 Problema 1 Mantenimiento de Sesión (2) try { LoginResult loginresult = userservice.login(loginname, encryptedpassword, true); UserSession usersession = new UserSession(); usersession.setuserprofileid( loginresult.getuserprofileid()); usersession.setfirstname(loginresult.getfirstname()); applicationstatemanager.set( UserSession.class, usersession); catch (InstanceNotFoundException e) { CookiesManager.removeCookies(cookies); catch (IncorrectPasswordException e) { CookiesManager.removeCookies(cookies); return false;

36 Problema 1 Mantenimiento de Sesión (y 3) es.udc.pojo.miniportal.web.services.sessiondispatcher En el constructor del servicio se inyectan los siguientes servicios ApplicationStateManager. Servicio que permite gestionar Application State Objects: Comprobar si existen, añadirlos o eliminarlos Cookies. Servicio que permite gestionar las cookies UserService. Servicio del modelo de MiniPortal, que permite validar un par nombre de usuario/contraseña El método dispatch del servicio Comprueba si ya existe un usuario autenticado (existe el ASO UserSession). Si no existe Utiliza el servicio Cookies (clase CookiesManager) para intentar recuperar las cookies loginname/encriptedpassword Si encuentra las cookies, utiliza sus valores para autenticar al usuario (UserService.login). Si consigue autenticar al usuario, utiliza el servicio ApplicationStateManager para crear el ASO UserSession. En otro caso, elimina las cookies, por ser inválidas Devuelve siempre false, para que se continúe procesando la cadena de comandos del MasterDispatcher

37 Problema 2 Control de Acceso a Recursos (1) Para poder establecer un control de acceso a las páginas es necesario Definir una política de acceso, con diferentes niveles La enumeración AuthenticationPolicyType define tres niveles de acceso ALL_USERS. Cualquier usuario puede acceder al recurso AUTHENTICATED_USERS. Sólo puede acceder un usuario que previamente se haya autenticado NON_AUTHENTICATED_USERS. Sólo pueden acceder usuarios que no se hayan autenticado previamente Asignar un nivel de acceso a cada una de las páginas de la aplicación Se ha creado la anotación AuthenticationPolicy para especificar el nivel de acceso sobre cada página de la aplicación sobre la que se desee establecer restricciones. Valor por defecto ALL_USERS Es aplicable a clases, interfaces o enumeraciones (@Target(ElementType.TYPE)) Se va a utilizar en tiempo de ejecución (@Retention(RetentionPolicy.RUNTIME)) Se mostrará en el javadoc (@Documented)

38 Problema 2 Control de Acceso a Recursos (2) Para poder establecer un control de acceso a las páginas es necesario (cont) Es necesario anotar las páginas de forma adecuada Por ejemplo, las páginas user/login y user/register son sólo aplicables a usuarios que no se hayan autenticado AuthenticationPolicyType.NON_AUTHENTICATED_USERS) public class Login {... Las páginas user/updateprofile y user/changepassword sólo pueden ser accedidas por usuarios que se hayan autenticado previamente Implementar un servicio AuthenticationDispatcher que aplique la política de acceso en base a las anotaciones de cada página solicitada

39 Problema 2 Control de Acceso a Recursos (3) public class AuthenticationDispatcher implements Dispatcher { private final static String LOGIN_PAGE = "/user/login"; private final static String INIT_PAGE = "/"; private ApplicationStateManager applicationstatemanager; private ComponentClassResolver componentclassresolver; private ComponentSource componentsource; public AuthenticationDispatcher( ApplicationStateManager applicationstatemanager, ComponentClassResolver componentclassresolver, ComponentSource componentsource) { this.applicationstatemanager = applicationstatemanager; this.componentclassresolver = componentclassresolver; this.componentsource = componentsource; public boolean dispatch(request request, Response response) throws IOException { Component page = componentsource.getpage(getpagename(request)); AuthenticationPolicy policy = page.getclass().getannotation(authenticationpolicy.class); if (policy == null) { return false;

40 Problema 2 Control de Acceso a Recursos (4) AuthenticationPolicyType policytype = policy.value(); boolean userauthenticated = applicationstatemanager.exists(usersession.class);... switch (policytype) { case AUTHENTICATED_USERS: if (!userauthenticated) { response.sendredirect(request.getcontextpath() + LOGIN_PAGE); return true; // Leave the chain. break; case NON_AUTHENTICATED_USERS: if (userauthenticated) { response.sendredirect(request.getcontextpath() + INIT_PAGE); return true; // Leave the chain. break; default: break; return false;

41 Problema 2 Control de Acceso a Recursos (y 5) es.udc.pojo.miniportal.web.services.authenticationdispatcher En el constructor del servicio se inyectan los siguientes servicios ApplicationStateManager. Servicio que permite gestionar Application State Objects: Comprobar si existen, añadirlos o eliminarlos ComponentClassResolver y ComponentSource. Servicios que permiten validar si determinados nombres lógicos corresponden a páginas de Tapestry y recuperar sus objetos páginas correspondientes El método dispatch del servicio Obtiene la política anotada en la página y chequea si existe sesión con usuario autenticado Si la página requiere autenticación y no existe sesión autenticada, redirige a la página user/login y suspende la ejecución de comandos del MasterDispatcher (devuelve true) Si la página no requiere autenticación pero existe sesión autenticada, redirige a la página raíz y también detiene la ejecución de comandos En el resto de casos devuelve false, para que el servicio MasterDispatcher continúe con el procesamiento de la petición El método getpagename devuelve el nombre de una página a partir de una URL, eliminando el contexto de activación, si lo incluye (para ello se apoya en el servicio ComponentClassResolver)