J A A S : S e g u r i d a d c o m p l e t a e n J a v a. Oscar Rojas SoftClear Abril, 2007

Transcripción

1 J A A S : S e g u r i d a d c o m p l e t a e n J a v a Oscar Rojas SoftClear Abril, 2007

2 A g e n d a Conceptos de seguridad Qué es JAAS y con que se come? Seguridad en J2EE Integración de JAAS en Aplicaciones Web

3 C o n c e p t o s d e s e g u r i d a d Autenticación: Soy yo quién digo ser? Cómo lo verifico?

4 C o n c e p t o s d e s e g u r i d a d Autorización: Qué puedo hacer? A qué puedo acceder? Privilegios Limitaciones

5 J A A S Java Authentication and Authorization Service API de Java que provee un framework para mecanismos de autenticación y autenticación para aplicaciones en Java Es la implementación en Java del estándar PAM(Pluggable Authentication Module)

6 J A A S Independencia

7 J A A S Keywords: Subject: clase que representa a un ente autenticable dentro de la aplicación es quien va a invocar los metodos de autenticación. Principal: clase que representa los atributos que poseen cada subject recuperados una vez que se efectúa el ingreso a la aplicación. En base a los Principals se determinan los privilegios dentro de esta. LoginContext: clase que se crea y utiliza para invocar la autenticación LoginModule: interfaz que que debe implementarse para definir los mecanismos de autenticación en la aplicación CallBackHandler: interfaz que se debe implementar para interactuar con los mecanismos de seguridad para que esta pueda recuperar los datos necesarios para la autenticación

8 J A A S Archivo de configuración: SimpleLogin { }; SimpleLoginModule required; En él se definen los módulos de autenticación a utilizar, y la forma de utilizarlos. Estas formas son: required requisite optional sufficient

9 J A A S LoginModule debe implementar: initialize login commit abort logout

10 J A A S Autorización: Se logra mediante clases que implementan la interfaz PriviledAction public class SampleAction implements PrivilegedAction { } public Object run() {... //Conjunto de acciones restringidas return null; }

11 S e g u r i d a d e n J 2 E E Usuarios y Roles agrupados bajo políticas de seguridad(realms) Restricción de acceso de manera declarativa y programática.

12 S e g u r i d a d e n J 2 E E Realms comunes: JDBCRealm DataSourceRealm JNDIRealm MemoryRealm JAASRealm

13 S e g u r i d a d e n J 2 E E Protegiendo los recursos Acceso restringido a los recursos de la aplicación de acuerdo a roles definidos. Configuración de restricciones de seguridad(web.xml)

14 S e g u r i d a d e n J 2 E E Configuración de Realms: Se añaden las entradas dentro del contexto la instancia del servidor J2EE(server.xml) <Realm classname="org.apache.catalina.realm.jdbcrealm" debug="99" drivername="org.gjt.mm.mysql.driver" connectionurl="jdbc:mysql://localhost/authority?user=dbuser& amp;password=dbpass" usertable="users" usernamecol="user_name" usercredcol="user_pass" userroletable="user_roles" rolenamecol="role_name"/>

15 S e g u r i d a d e n J 2 E E Añadiendo restricciones de seguridad: <security-constraint> <display-name>entrada restricción de Segurida</displayname> <web-resource-collection> <web-resource-name>recursos protegidos</web-resource-name> <url-pattern>/protegidos/usuarios/*</url-pattern> <http-method>get</http-method> <http-method>post</http-method> </web-resource-collection> <auth-constraint> <role-name>user</role-name> </auth-constraint> </security-constraint>

16 S e g u r i d a d J 2 E E Tipos de autenticación en J2EE: Especificado en el descriptor de despliegue. Pueden ser: BASIC: Autenticación básica de usuario/contraseña DIGEST: Similar a la anterior. Con la diferencia que la contraseña es cifrada. No se garantiza que todos los browsers soporten esta funcionalidad. FORM: Basada en formulario web.

17 I n t e g r a c i ó n d e J A A S e n A p l i c a c i o n e s W e b Configuración de JAASRealm Mapeo de Usuarios y Roles Uso en contexto declarativo y programático <Realm classname="org.apache.catalina.realm.jaasrealm" debug="100" appname="jaastesttomcat" userclassnames="web.security.principals.userprincipal" roleclassnames="web.security.principals.roleprincipal" />

18 P a t r o c i n a d o p o r :