SlideShare une entreprise Scribd logo

EJB Autenticação Controle Acesso

Denis L Presciliano
Denis L Presciliano

O documento descreve os conceitos de autenticação e controle de acesso em EJB. A especificação EJB define autenticação de clientes e controle de acesso a métodos de forma declarativa, mas não abrange outros aspectos de segurança. O Java Authentication and Authorization Service (JAAS) é usado para implementar a autenticação, enquanto papéis lógicos mapeados a usuários e grupos determinam o acesso aos métodos.

1  sur  24
Télécharger pour lire hors ligne
J530 - Enterprise JavaBeans Autenticação e Controle de Acesso Helder da Rocha (helder@acm.org) argonavis.com.br 1
Controle de acesso a autenticação A especificação EJB define controle de acesso a métodos e autenticação de clientes Não abrange outros aspectos importantes de segurança, como criptografia e comunicação segura Autenticação depende de implementação no container Identidade é representada por objeto java.security.Principal O controle de acesso é feito de forma declarativa Declara-se papéis lógicos que podem ser mapeados a usuários e grupos: <security-role> Papéis são associados a métodos para determinar quem tem autorização para executar: <method-permission> Métodos podem ser executados em outros beans por um Principal diferente: <security-identity><run-as> 2
Exemplo de controle de acesso <assembly-descriptor> <security-role> <role-name>BankCustomer</role-name> Papéis lógicos </security-role> participantes <security-role> <role-name>BankAdmin</role-name> </security-role> ejb-jar.xml <method-permission> <unchecked /> <method> Grupo de métodos <ejb-name>CustomerEJB</ejb-name> não verificados <method-name>getPrimaryKey</method-name> </method> </method-permission> <method-permission> <role-name>BankAdmin</role-name> Grupo de métodos de CustomerEJB <method> <ejb-name>CustomerEJB</ejb-name> que só podem ser chamados por <method-name>*</method-name> usuários que assumem o papel </method> de BankAdmin <method-permission> </assembly-descriptor> 3
JAAS A autenticação depende de infraestrutura do servidor e pode ser implementada com o Java Authentication and Authorization Service - JAAS JAAS é uma API para autenticação de usuários e autorização. A maior parte é implementada pelo servidor Principais classes javax.security.auth.Subject javax.security.Principal javax.security.auth.callback.Callback javax.security.auth.callback.CallbackHandler javax.security.auth.login.Configuration javax.security.auth.login.LoginContext javax.security.auth.spi.LoginModule 4
Implementação do JAAS no JBoss (JBossSX) A implementação do JAAS no JBoss consiste de JAASecurityManager Módulos de configuração do servidor (login-config.xml) e do cliente (auth.conf) Implementações de javax.security.auth.spi.LoginModule ClientLoginModule Implementação de LoginModule no cliente UsersRolesLoginModule Uma das implementações de LoginModule no servidor Par de arquivos de texto para definir usuários e grupos jboss.xml e jboss-web.xml Declaram domínio JAAS a ser usado através do elemento <security-domain> de jboss.xml e jboss-web.xml 5
Configuração do JBoss Para utilizar os domínios de segurança do JBoss é preciso realizar configurações no servidor e em cada aplicação No servidor Arquivo login-config.xml localizado no diretório $JBOSS_HOME/server/default/conf/ Criação de domínios de segurança e sua associação com módulos de login existentes Na aplicação Arquivo jboss.xml (e/ou jboss-web.xml, se autenticação ocorrer via Web Container) Declaração do domínio de segurança JAAS usado Em clientes standalone, criação de domínios de segurança 6
Domínio de segurança do servidor JBossSX Deve ser declarado em jboss.xml (ou jboss-web.xml) <jboss> <security-domain> java:/jaas/dominio-servidor</security-domain> <session> <ejb-name>SecureHelloEJB</ejb-name> <jndi-name>login/HelloHome</jndi-name> </session> </jboss> jboss.xml Deve coincidir com nome de um <application-policy> (que define o domínio) em login-config.xml <policy> (...) <application-policy name="dominio-servidor"> <authentication> <login-module code="MyLoginModule" .../> Se não houver domínio com este nome em login-config.xml, será usado o domínio default "other", previamente configurado para usar UsersRolesLoginModule (veja slide seguinte) 7
Serviço JBossSX com UsersRolesLoginModule Módulo simples que utiliza par de arquivos de texto É a configuração default em login-config.xml <policy> (...) <application-policy name="other"> <authentication> <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required" /> </authentication> </application-policy> Trecho de server/default/conf/login-config.xml </policy> users.properties (nome=senha) mickey=mouse niquel=nausea roles.properties (nome.Grupo=Role,...,Role) mickey.Roles=TestRole, AdminRole niquel.Roles=NoRole, MouseRole Use preferencialmente senha criptografada! Coloque no CLASSPATH do servidor (pode ser no EJB-JAR) 8
Domínio usando banco de dados Pode-se guardar nome, senha e grupo em banco de dados. Para isto, é preciso configurá-lo no JBoss (login-config.xml) com DatabaseServerLoginModule É preciso também ter uma ou mais tabelas criadas com os dados de login (usuario, senha e grupo) O módulo requer três opções que são: nome do Datasource, query que retorne a senha, dado o userid e query que retorne um grupo, como "Roles" dado um userid <application-policy name="dominio-JDBC-servidor"> <authentication> <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule"> <module-option name="dsJndiName">java:/DefaultDS</module-option> <module-option name="principalsQuery"> select senha from usuarios where id=?</module-option> <module-option name="rolesQuery"> select grupo, 'Roles' from grupos where id=?</module-option> <module-option name="unauthenticatedIdentity">nobody</module-option> </login-module> </authentication> </application-policy> 9
Domínio de segurança do cliente JBossSX Coloque no Classpath do cliente standalone Arquivo de configuração (indica no mínimo a implementação de login module usada) arquivo de configuração (default) dominio-cliente { // JBoss LoginModule implementation org.jboss.security.ClientLoginModule }; required; Informe ao cliente a localização do arquivo através da propriedade java.security.auth.login.config: > java Prog -Djava.security.auth.login.config=auth.txt JARs do JBossSX: jbosssx-client.jar (além dos outros JARs necessários para o cliente JBoss) 10
Domínio de clientes dentro de containers Para clientes que executam dentro do servidor (ex: servlets, JSP), chame o mesmo login module através de domínio definido na configuração do JBoss Ex: domínio declarado em login-config.xml: <application-policy name="dominio-cliente"> <authentication> <login-module code="org.jboss.security.ClientLoginModule" flag="required"> </login-module> </authentication> </application-policy> 11
Cliente standalone padrão JAAS para login public class HelloClient { public static void main(String[] args) throws Exception { LoginContext loginCtx = null; Encapsula dados de try { autenticação // Cria CallBackHandler CallbackHandler handler = new HelloCallbackHandler(); // Carrega configuração loginCtx = new LoginContext("dominio-cliente", handler); // Faz o login Dominio do cliente Faz o login aqui loginCtx.login(); (veja slides anteriores) } catch (LoginException e) { System.out.println("Login failed"); System.exit(1); } // Executa ação privilegiada propagando contexto de segurança Context ctx = new InitialContext(System.getProperties()); Object obj = ctx.lookup("SecureHelloEJB"); HelloHome home = (HelloHome) PortableRemoteObject.narrow(obj, HelloHome.class); Hello hello = home.create(); Chama métodos System.out.println(hello.hello()); privilegiados } } 12
JAAS CallbackHandler import javax.security.auth.*; import javax.security.auth.callback.*; import javax.security.auth.login.*; public class HelloCallbackHandler implements CallbackHandler { private String username; private String password; GUI simples para entrada de texto public HelloCallbackHandler() { LoginDialog dialog = new LoginDialog("User Authentication Required"); this.username = dialog.getData()[0]; Preenche array de callbacks this.password = dialog.getData()[1]; } recebido com nome e senha lidos public void handle(Callback[] callbacks) throws java.io.IOException, UnsupportedCallbackException { for (int i = 0; i < callbacks.length; i++) { if (callbacks[i] instanceof NameCallback) { NameCallback nc = (NameCallback) callbacks[i]; nc.setName(username); } else if (callbacks[i] instanceof PasswordCallback) { PasswordCallback pc = (PasswordCallback) callbacks[i]; pc.setPassword( this.preparePassword(password) ); } else throw new UnsupportedCallbackException(callbacks[i], "Error"); } } private char[] preparePassword(String word) { return word.toCharArray(); // ou rotina de criptografia } } 13
Exemplo JAAS: como executar Diretório cap13/exemplos/mejb Configuração Configure build.properties Edite usuários e grupos em lib/users.properties e lib/roles.properties Use targets do Ant > ant jboss.deploy (para instalar) > ant run.jboss.client (para rodar) Digite nome e senha compatíveis com arquivos de configuração Tente logar como usuário válido não autorizado (niquel) 14
Aplicação exemplo: ejb-jar.xml <ejb-jar> <enterprise-beans> <session> <ejb-name>SecureHelloEJB</ejb-name> <home>examples.HelloHome</home> <remote>examples.Hello</remote> <ejb-class>examples.HelloBean</ejb-class> <session-type>Stateless</session-type> <transaction-type>Container</transaction-type> </session> </enterprise-beans> <assembly-descriptor> Todos os métodos <security-role> acessíveis a TestRole <role-name>TestRole</role-name> </security-role> <method-permission> <role-name>TestRole</role-name> <method> <ejb-name>SecureHelloEJB</ejb-name> <method-name>*</method-name> </method> </method-permission> Veja código exemplo em cap13/exemplos/mejb </assembly-descriptor> </ejb-jar> 15
Propagação da identidade do principal A identidade do principal é propagada nas chamadas feitas no contexto do método chamado pelo cliente Este é o comportamento default, que também pode ser declarado explicitamente no DD <entity> ... <security-identity> <use-caller-identity /> <security-identity> ... </entity> Uma exceção será provocada caso o método chame algum método que o perfil associado com o principal não tenha autorização para executar 16
Troca de identidade Para executar métodos privilegiados, um bean pode trocar de identidade A nova identidade será propagada em todos os seus métodos e nos métodos chamados por eles <entity> ... <security-identity> <run-as> <role-name>admin</role-name> </run-as> <security-identity> ... </entity> 17
Autorização: controle programático Não há vantagens em se controlar o acesso aos recursos apenas via código Controle de acesso não é tarefa do bean provider (programador), mas do assembler ou deployer Por outro lado, o controle declarativo muitas vezes é insuficiente, por exemplo Um método que é acessível por um grupo precisa identificar membros desse grupo para limitar acesso a certas partes do código Métodos que podem ser acessados por vários grupos, mas de acordo com certos algoritmos 18
Métodos de EJBContext Para controle de acesso no código, há dois métodos em EJBContext (disponível para todos os beans) getCallerPrincipal(): retorna javax.security.Principal que identifica o usuário que está logado. Use getName() no objeto retornado para recuperar o nome (String) isCallerInRole(String role): retorna true se usuário logado faz parte do papel passado como argumento. O nome passado pode não ser o mesmo usado no deployment descriptor, mas um alias. String loggedUser = ctx.getCallerPrincipal().getName(); if( !ctx.isCallerInRole("administrador")) { if (!loggedUser.equals(userid)) { throw new AcessoIlegalException("..."); } } 19
Alias para papéis no DD Permite que component assembler ou deployer utilize nome usado pelo programador no código-fonte e associe ao nome do papel declarado no deployment descriptor </entity> ... <security-role-ref> <role-name>admin</role-name> <role-link>administrador</role-link> </security-role-ref> ... </entity> A declaração do <security-role-ref> é obrigatória sempre que houver controle de acesso no código (mesmo se o nome usado no código for igual ao declarado no DD) if(!ctx.isCallerInRole("administrador")) { if (!loggedUser.equals(userid)) { <assembly-descriptor> throw new Exception("..."); <security-role> } <role-name>admin</role-name> } </security-role> ... </assembly-descriptor> 20
Configuração do JBoss Para executar os exercícios e os outros exemplos (deste e dos próximos capítulos) é preciso configurar a tabela com usuários e estabelecer um domínio de segurança no JBoss Roteiro Abra o arquivo login-config.xml e inclua as duas definições de domínio contidas no arquivo cap13/jaas.xml. Ele define um LoginModule para acesso JDBC. Rode ant create-table para criar as tabelas e povoá-las com os usuários e grupos necessários Reinicie o JBoss para que ele leia as configurações 21
Exercício 1. a) Crie uma aplicação contendo um session bean com dois métodos listarNomes() adicionarNome(String nome) 1. b) Crie dois papéis (roles): User e Admin e defina as permissões dos métodos Admin: pode listarNomes() e adicionarNome() User: pode listarNomes() 1. c) Implemente um cliente que faça o login e chame um dos dois métodos 1. d) Configure usuários do sistema, associe-os aos papéis existentes e rode a aplicação 2. Imprima o CallerPrincipal e informe se o método está ou não sendo chamado por Admin 22
Fontes [1] JBoss Group. JBoss User's Manual. Chapter 8: The JBoss Security Extension Framework. [2] Erik Jendrock. Security. Sun J2EE Tutorial. [3] Richard Monson-Haefel, Enterprise JavaBeans, 3rd. Edition, O'Reilly and Associates, 2001 [4] Ed Roman. Mastering EJB 2. 23
Curso J530: Enterprise JavaBeans Revisão 2.0 - Junho de 2003 © 2001-2003, Helder da Rocha (helder@acm.org) argonavis.com.br 24

Recommandé

Segurança e Controle de errros
Segurança e Controle de errrosSegurança e Controle de errros
Segurança e Controle de errrosDenis L Presciliano
 
Workshop05
Workshop05Workshop05
Workshop05Philippe Guillaume, MBA,CISSP, COBIT
 
Programação web ii aulas 05 e 06
Programação web ii aulas 05 e 06Programação web ii aulas 05 e 06
Programação web ii aulas 05 e 06Yuri Bispo
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Helder da Rocha
 
Wicket 2008
Wicket 2008Wicket 2008
Wicket 2008Claudio Miranda
 
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0Elvis Rocha
 
Windows Azure 5/8 - Recursos adicionais do Windows Azure
Windows Azure 5/8 - Recursos adicionais do Windows AzureWindows Azure 5/8 - Recursos adicionais do Windows Azure
Windows Azure 5/8 - Recursos adicionais do Windows AzureVitor Ciaramella
 
TDD - Algumas lições aprendidas com o livro GOOS
TDD - Algumas lições aprendidas com o livro GOOSTDD - Algumas lições aprendidas com o livro GOOS
TDD - Algumas lições aprendidas com o livro GOOSFábio Miranda
 

Recommandé

Segurança e Controle de errros
Segurança e Controle de errrosSegurança e Controle de errros
Segurança e Controle de errrosDenis L Presciliano
 
Workshop05
Workshop05Workshop05
Workshop05Philippe Guillaume, MBA,CISSP, COBIT
 
Programação web ii aulas 05 e 06
Programação web ii aulas 05 e 06Programação web ii aulas 05 e 06
Programação web ii aulas 05 e 06Yuri Bispo
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Helder da Rocha
 
Wicket 2008
Wicket 2008Wicket 2008
Wicket 2008Claudio Miranda
 
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0
Java EE 6 JPA 2.0, EJB 3.1 e CDI 1.0Elvis Rocha
 
Windows Azure 5/8 - Recursos adicionais do Windows Azure
Windows Azure 5/8 - Recursos adicionais do Windows AzureWindows Azure 5/8 - Recursos adicionais do Windows Azure
Windows Azure 5/8 - Recursos adicionais do Windows AzureVitor Ciaramella
 
TDD - Algumas lições aprendidas com o livro GOOS
TDD - Algumas lições aprendidas com o livro GOOSTDD - Algumas lições aprendidas com o livro GOOS
TDD - Algumas lições aprendidas com o livro GOOSFábio Miranda
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBCDenis L Presciliano
 
Tutorial +login+mvc
Tutorial +login+mvcTutorial +login+mvc
Tutorial +login+mvcDiego Feitoza
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOLgrupoweblovers
 
Vraptor
VraptorVraptor
Vraptorclauvane1708
 
Aula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebAula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebDalton Martins
 
Formas de autenticação tomcat
Formas de autenticação tomcatFormas de autenticação tomcat
Formas de autenticação tomcatSOL7 - Tecnologia de Decisão
 
Desenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored ProcedureDesenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored ProcedureFernando Roberto Proença
 
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)Helder da Rocha
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBCMario Jorge Pereira
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 
Sessões
SessõesSessões
SessõesDenis L Presciliano
 
FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..Phateon I
 
Autenticação e autorização
Autenticação e autorizaçãoAutenticação e autorização
Autenticação e autorizaçãoDouglas Aguiar
 
Conhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticaçãoConhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticaçãoAdriano Henrique
 
Cronograma FDC
Cronograma FDCCronograma FDC
Cronograma FDCMarcelo Soares
 
Kerberos
KerberosKerberos
KerberosVinicius Duarte de Almeida
 
Criptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informaçõesCriptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informaçõesAlex Camargo
 
TDD e BDD
TDD e BDDTDD e BDD
TDD e BDDFelipe Rodrigues
 
Vssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativosVssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativosYan Justino
 
Domain driven design na Prática
Domain driven design na PráticaDomain driven design na Prática
Domain driven design na PráticaDouglas Aguiar
 
Angular
AngularAngular
AngularYan Justino
 
Iniciando com DDD
Iniciando com DDDIniciando com DDD
Iniciando com DDDDouglas Aguiar
 

Contenu connexe

Tendances

Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOLgrupoweblovers
 
Aula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebAula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebDalton Martins
 
Desenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored ProcedureDesenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored ProcedureFernando Roberto Proença
 
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)Helder da Rocha
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 
FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..Phateon I
 

Tendances (12)

Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBC
 
Tutorial +login+mvc
Tutorial +login+mvcTutorial +login+mvc
Tutorial +login+mvc
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOL
 
Vraptor
VraptorVraptor
Vraptor
 
Aula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebAula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação Web
 
Formas de autenticação tomcat
Formas de autenticação tomcatFormas de autenticação tomcat
Formas de autenticação tomcat
 
Desenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored ProcedureDesenvolvimento de um CRUD utilizando Stored Procedure
Desenvolvimento de um CRUD utilizando Stored Procedure
 
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
Curso de RESTful WebServices em Java com JAX-RS (Java EE 7)
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBC
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago Bordini
 
Sessões
SessõesSessões
Sessões
 
FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..FãS Do Xp Enfim Um O.S. à ..
FãS Do Xp Enfim Um O.S. à ..
 

En vedette

Autenticação e autorização
Autenticação e autorizaçãoAutenticação e autorização
Autenticação e autorizaçãoDouglas Aguiar
 
Conhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticaçãoConhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticaçãoAdriano Henrique
 
Criptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informaçõesCriptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informaçõesAlex Camargo
 
Vssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativosVssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativosYan Justino
 
Domain driven design na Prática
Domain driven design na PráticaDomain driven design na Prática
Domain driven design na PráticaDouglas Aguiar
 
Padroes de projetos gof
Padroes de projetos gofPadroes de projetos gof
Padroes de projetos gofYan Justino
 
Introdução ao Aspnet Core
Introdução ao Aspnet CoreIntrodução ao Aspnet Core
Introdução ao Aspnet CoreYan Justino
 
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDO
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDOARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDO
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDOYan Justino
 
Nota de aula seguranca da informacao - criptografia
Nota de aula seguranca da informacao - criptografiaNota de aula seguranca da informacao - criptografia
Nota de aula seguranca da informacao - criptografiafelipetsi
 
Atacando as complexidades no coração do software
Atacando as complexidades no coração do softwareAtacando as complexidades no coração do software
Atacando as complexidades no coração do softwareYan Justino
 
Bounded Context e CQRS na evolução de aplicações .NET legadas
Bounded Context e CQRS na evolução de aplicações .NET legadasBounded Context e CQRS na evolução de aplicações .NET legadas
Bounded Context e CQRS na evolução de aplicações .NET legadasYan Justino
 
Padrões-05 - Padrões Arquiteturais - MVC
Padrões-05 - Padrões Arquiteturais - MVCPadrões-05 - Padrões Arquiteturais - MVC
Padrões-05 - Padrões Arquiteturais - MVCEduardo Nicola F. Zagari
 
Arquitetura de Software Visão Geral
Arquitetura de Software Visão GeralArquitetura de Software Visão Geral
Arquitetura de Software Visão Geralsergiocrespo
 
Entendendo Domain-Driven Design
Entendendo Domain-Driven DesignEntendendo Domain-Driven Design
Entendendo Domain-Driven DesignRafael Ponte
 

En vedette (20)

Autenticação e autorização
Autenticação e autorizaçãoAutenticação e autorização
Autenticação e autorização
 
Conhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticaçãoConhecendo outras ferramentas de autenticação
Conhecendo outras ferramentas de autenticação
 
Cronograma FDC
Cronograma FDCCronograma FDC
Cronograma FDC
 
Kerberos
KerberosKerberos
Kerberos
 
Criptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informaçõesCriptografia: matemática e lógica computacional protegendo informações
Criptografia: matemática e lógica computacional protegendo informações
 
TDD e BDD
TDD e BDDTDD e BDD
TDD e BDD
 
Vssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativosVssummit 2016 - DDD em cenários corporativos
Vssummit 2016 - DDD em cenários corporativos
 
Domain driven design na Prática
Domain driven design na PráticaDomain driven design na Prática
Domain driven design na Prática
 
Angular
AngularAngular
Angular
 
Iniciando com DDD
Iniciando com DDDIniciando com DDD
Iniciando com DDD
 
Padroes de projetos gof
Padroes de projetos gofPadroes de projetos gof
Padroes de projetos gof
 
Introdução ao Aspnet Core
Introdução ao Aspnet CoreIntrodução ao Aspnet Core
Introdução ao Aspnet Core
 
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDO
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDOARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDO
ARQUITETURAS PERFEITAS E O PORQUÊ SEU PROJETO NASCEU FALIDO
 
Nota de aula seguranca da informacao - criptografia
Nota de aula seguranca da informacao - criptografiaNota de aula seguranca da informacao - criptografia
Nota de aula seguranca da informacao - criptografia
 
Atacando as complexidades no coração do software
Atacando as complexidades no coração do softwareAtacando as complexidades no coração do software
Atacando as complexidades no coração do software
 
Bounded Context e CQRS na evolução de aplicações .NET legadas
Bounded Context e CQRS na evolução de aplicações .NET legadasBounded Context e CQRS na evolução de aplicações .NET legadas
Bounded Context e CQRS na evolução de aplicações .NET legadas
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
 
Padrões-05 - Padrões Arquiteturais - MVC
Padrões-05 - Padrões Arquiteturais - MVCPadrões-05 - Padrões Arquiteturais - MVC
Padrões-05 - Padrões Arquiteturais - MVC
 
Arquitetura de Software Visão Geral
Arquitetura de Software Visão GeralArquitetura de Software Visão Geral
Arquitetura de Software Visão Geral
 
Entendendo Domain-Driven Design
Entendendo Domain-Driven DesignEntendendo Domain-Driven Design
Entendendo Domain-Driven Design
 

Similaire à EJB Autenticação Controle Acesso

Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em açãoRafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em açãoRafael Garcia
 
[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2Felipe Pimentel
 
Evento Front End SP - Arquitetura de Front
Evento Front End SP - Arquitetura de FrontEvento Front End SP - Arquitetura de Front
Evento Front End SP - Arquitetura de FrontMichel Ribeiro
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento webRafael Monteiro
 
Apresentação interbase (atualização 2)
Apresentação interbase (atualização 2)Apresentação interbase (atualização 2)
Apresentação interbase (atualização 2)Elen Arantza
 
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)Adriano Teixeira de Souza
 
Como conectar programas em linguagem java a bases de dados
Como conectar programas em linguagem java a bases de dadosComo conectar programas em linguagem java a bases de dados
Como conectar programas em linguagem java a bases de dadosHenrique Fernandes
 
Sistemas Distribuídos - Comunicação Distribuída - EJB
Sistemas Distribuídos - Comunicação Distribuída - EJBSistemas Distribuídos - Comunicação Distribuída - EJB
Sistemas Distribuídos - Comunicação Distribuída - EJBAdriano Teixeira de Souza
 
aula09-redux-firebase-auth.pdf
aula09-redux-firebase-auth.pdfaula09-redux-firebase-auth.pdf
aula09-redux-firebase-auth.pdfBrunoTorres978388
 
Teste de Integracao com DbUnit e JStryker
Teste de Integracao com DbUnit e JStrykerTeste de Integracao com DbUnit e JStryker
Teste de Integracao com DbUnit e JStrykerWashington Botelho
 
Introdução ao Zend Framework 2
Introdução ao Zend Framework 2Introdução ao Zend Framework 2
Introdução ao Zend Framework 2Elton Minetto
 
Automação e virtualização de serviços
Automação e virtualização de serviçosAutomação e virtualização de serviços
Automação e virtualização de serviçosElias Nogueira
 

Similaire à EJB Autenticação Controle Acesso (20)

Segurança J2EE
Segurança J2EESegurança J2EE
Segurança J2EE
 
Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em açãoRafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em ação
 
Jaas apresentado
Jaas apresentadoJaas apresentado
Jaas apresentado
 
PHP FrameWARks - FISL
PHP FrameWARks - FISLPHP FrameWARks - FISL
PHP FrameWARks - FISL
 
[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2
 
Evento Front End SP - Arquitetura de Front
Evento Front End SP - Arquitetura de FrontEvento Front End SP - Arquitetura de Front
Evento Front End SP - Arquitetura de Front
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento web
 
Apresentação interbase (atualização 2)
Apresentação interbase (atualização 2)Apresentação interbase (atualização 2)
Apresentação interbase (atualização 2)
 
Sistema php
Sistema phpSistema php
Sistema php
 
Java script aula 09 - JQuery
Java script aula 09 - JQueryJava script aula 09 - JQuery
Java script aula 09 - JQuery
 
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)
Sistemas Distribuídos - Comunicação Distribuída - EJB (JBoss 7)
 
Como conectar programas em linguagem java a bases de dados
Como conectar programas em linguagem java a bases de dadosComo conectar programas em linguagem java a bases de dados
Como conectar programas em linguagem java a bases de dados
 
Sistemas Distribuídos - Comunicação Distribuída - EJB
Sistemas Distribuídos - Comunicação Distribuída - EJBSistemas Distribuídos - Comunicação Distribuída - EJB
Sistemas Distribuídos - Comunicação Distribuída - EJB
 
aula09-redux-firebase-auth.pdf
aula09-redux-firebase-auth.pdfaula09-redux-firebase-auth.pdf
aula09-redux-firebase-auth.pdf
 
Php12
Php12Php12
Php12
 
Programação Web com jQuery
Programação Web com jQueryProgramação Web com jQuery
Programação Web com jQuery
 
Tutorial struts
Tutorial strutsTutorial struts
Tutorial struts
 
Teste de Integracao com DbUnit e JStryker
Teste de Integracao com DbUnit e JStrykerTeste de Integracao com DbUnit e JStryker
Teste de Integracao com DbUnit e JStryker
 
Introdução ao Zend Framework 2
Introdução ao Zend Framework 2Introdução ao Zend Framework 2
Introdução ao Zend Framework 2
 
Automação e virtualização de serviços
Automação e virtualização de serviçosAutomação e virtualização de serviços
Automação e virtualização de serviços
 

Plus de Denis L Presciliano

Como construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsComo construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsDenis L Presciliano
 
Coleções Propriedade, Resources e Strings
Coleções Propriedade, Resources e StringsColeções Propriedade, Resources e Strings
Coleções Propriedade, Resources e StringsDenis L Presciliano
 
Funcamentos de Programação Concorrente
Funcamentos de Programação ConcorrenteFuncamentos de Programação Concorrente
Funcamentos de Programação ConcorrenteDenis L Presciliano
 
Reuso com Herança e Composição
Reuso com Herança e ComposiçãoReuso com Herança e Composição
Reuso com Herança e ComposiçãoDenis L Presciliano
 
Gerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache AntGerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache AntDenis L Presciliano
 
Tipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxoTipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxoDenis L Presciliano
 
Como usar a documentação da API Java 2
Como usar a documentação da API Java 2Como usar a documentação da API Java 2
Como usar a documentação da API Java 2Denis L Presciliano
 
Configuração do ambiente JEdit + Ant
Configuração do ambiente JEdit + AntConfiguração do ambiente JEdit + Ant
Configuração do ambiente JEdit + AntDenis L Presciliano
 
Programação Orientada a objetos em Java
Programação Orientada a objetos em JavaProgramação Orientada a objetos em Java
Programação Orientada a objetos em JavaDenis L Presciliano
 

Plus de Denis L Presciliano (20)

Funmentos de Objetos Remotos
Funmentos de Objetos RemotosFunmentos de Objetos Remotos
Funmentos de Objetos Remotos
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBC
 
Como construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsComo construir aplicações gráficas e applets
Como construir aplicações gráficas e applets
 
Classes internas
Classes internasClasses internas
Classes internas
 
Entrada e Saída
Entrada e SaídaEntrada e Saída
Entrada e Saída
 
Coleções Propriedade, Resources e Strings
Coleções Propriedade, Resources e StringsColeções Propriedade, Resources e Strings
Coleções Propriedade, Resources e Strings
 
Funcamentos de Programação Concorrente
Funcamentos de Programação ConcorrenteFuncamentos de Programação Concorrente
Funcamentos de Programação Concorrente
 
Testes de Unidade com JUnit
Testes de Unidade com JUnitTestes de Unidade com JUnit
Testes de Unidade com JUnit
 
Erros, exceções e asserções
Erros, exceções e asserçõesErros, exceções e asserções
Erros, exceções e asserções
 
Interfaces e Porlimosfismo
Interfaces e PorlimosfismoInterfaces e Porlimosfismo
Interfaces e Porlimosfismo
 
Reuso com Herança e Composição
Reuso com Herança e ComposiçãoReuso com Herança e Composição
Reuso com Herança e Composição
 
Gerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache AntGerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache Ant
 
Pacotes e Encapsulamento
Pacotes e EncapsulamentoPacotes e Encapsulamento
Pacotes e Encapsulamento
 
Como criar classes e objetos
Como criar classes e objetosComo criar classes e objetos
Como criar classes e objetos
 
Tipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxoTipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxo
 
Como usar a documentação da API Java 2
Como usar a documentação da API Java 2Como usar a documentação da API Java 2
Como usar a documentação da API Java 2
 
Configuração do ambiente JEdit + Ant
Configuração do ambiente JEdit + AntConfiguração do ambiente JEdit + Ant
Configuração do ambiente JEdit + Ant
 
Programação Orientada a objetos em Java
Programação Orientada a objetos em JavaProgramação Orientada a objetos em Java
Programação Orientada a objetos em Java
 
Introdução a tecnologia Java
Introdução a tecnologia JavaIntrodução a tecnologia Java
Introdução a tecnologia Java
 
Fundamentos de Sockets
Fundamentos de SocketsFundamentos de Sockets
Fundamentos de Sockets
 

EJB Autenticação Controle Acesso

  • 1. J530 - Enterprise JavaBeans Autenticação e Controle de Acesso Helder da Rocha (helder@acm.org) argonavis.com.br 1
  • 2. Controle de acesso a autenticação A especificação EJB define controle de acesso a métodos e autenticação de clientes Não abrange outros aspectos importantes de segurança, como criptografia e comunicação segura Autenticação depende de implementação no container Identidade é representada por objeto java.security.Principal O controle de acesso é feito de forma declarativa Declara-se papéis lógicos que podem ser mapeados a usuários e grupos: <security-role> Papéis são associados a métodos para determinar quem tem autorização para executar: <method-permission> Métodos podem ser executados em outros beans por um Principal diferente: <security-identity><run-as> 2
  • 3. Exemplo de controle de acesso <assembly-descriptor> <security-role> <role-name>BankCustomer</role-name> Papéis lógicos </security-role> participantes <security-role> <role-name>BankAdmin</role-name> </security-role> ejb-jar.xml <method-permission> <unchecked /> <method> Grupo de métodos <ejb-name>CustomerEJB</ejb-name> não verificados <method-name>getPrimaryKey</method-name> </method> </method-permission> <method-permission> <role-name>BankAdmin</role-name> Grupo de métodos de CustomerEJB <method> <ejb-name>CustomerEJB</ejb-name> que só podem ser chamados por <method-name>*</method-name> usuários que assumem o papel </method> de BankAdmin <method-permission> </assembly-descriptor> 3
  • 4. JAAS A autenticação depende de infraestrutura do servidor e pode ser implementada com o Java Authentication and Authorization Service - JAAS JAAS é uma API para autenticação de usuários e autorização. A maior parte é implementada pelo servidor Principais classes javax.security.auth.Subject javax.security.Principal javax.security.auth.callback.Callback javax.security.auth.callback.CallbackHandler javax.security.auth.login.Configuration javax.security.auth.login.LoginContext javax.security.auth.spi.LoginModule 4
  • 5. Implementação do JAAS no JBoss (JBossSX) A implementação do JAAS no JBoss consiste de JAASecurityManager Módulos de configuração do servidor (login-config.xml) e do cliente (auth.conf) Implementações de javax.security.auth.spi.LoginModule ClientLoginModule Implementação de LoginModule no cliente UsersRolesLoginModule Uma das implementações de LoginModule no servidor Par de arquivos de texto para definir usuários e grupos jboss.xml e jboss-web.xml Declaram domínio JAAS a ser usado através do elemento <security-domain> de jboss.xml e jboss-web.xml 5
  • 6. Configuração do JBoss Para utilizar os domínios de segurança do JBoss é preciso realizar configurações no servidor e em cada aplicação No servidor Arquivo login-config.xml localizado no diretório $JBOSS_HOME/server/default/conf/ Criação de domínios de segurança e sua associação com módulos de login existentes Na aplicação Arquivo jboss.xml (e/ou jboss-web.xml, se autenticação ocorrer via Web Container) Declaração do domínio de segurança JAAS usado Em clientes standalone, criação de domínios de segurança 6
  • 7. Domínio de segurança do servidor JBossSX Deve ser declarado em jboss.xml (ou jboss-web.xml) <jboss> <security-domain> java:/jaas/dominio-servidor</security-domain> <session> <ejb-name>SecureHelloEJB</ejb-name> <jndi-name>login/HelloHome</jndi-name> </session> </jboss> jboss.xml Deve coincidir com nome de um <application-policy> (que define o domínio) em login-config.xml <policy> (...) <application-policy name="dominio-servidor"> <authentication> <login-module code="MyLoginModule" .../> Se não houver domínio com este nome em login-config.xml, será usado o domínio default "other", previamente configurado para usar UsersRolesLoginModule (veja slide seguinte) 7
  • 8. Serviço JBossSX com UsersRolesLoginModule Módulo simples que utiliza par de arquivos de texto É a configuração default em login-config.xml <policy> (...) <application-policy name="other"> <authentication> <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required" /> </authentication> </application-policy> Trecho de server/default/conf/login-config.xml </policy> users.properties (nome=senha) mickey=mouse niquel=nausea roles.properties (nome.Grupo=Role,...,Role) mickey.Roles=TestRole, AdminRole niquel.Roles=NoRole, MouseRole Use preferencialmente senha criptografada! Coloque no CLASSPATH do servidor (pode ser no EJB-JAR) 8
  • 9. Domínio usando banco de dados Pode-se guardar nome, senha e grupo em banco de dados. Para isto, é preciso configurá-lo no JBoss (login-config.xml) com DatabaseServerLoginModule É preciso também ter uma ou mais tabelas criadas com os dados de login (usuario, senha e grupo) O módulo requer três opções que são: nome do Datasource, query que retorne a senha, dado o userid e query que retorne um grupo, como "Roles" dado um userid <application-policy name="dominio-JDBC-servidor"> <authentication> <login-module code="org.jboss.security.auth.spi.DatabaseServerLoginModule"> <module-option name="dsJndiName">java:/DefaultDS</module-option> <module-option name="principalsQuery"> select senha from usuarios where id=?</module-option> <module-option name="rolesQuery"> select grupo, 'Roles' from grupos where id=?</module-option> <module-option name="unauthenticatedIdentity">nobody</module-option> </login-module> </authentication> </application-policy> 9
  • 10. Domínio de segurança do cliente JBossSX Coloque no Classpath do cliente standalone Arquivo de configuração (indica no mínimo a implementação de login module usada) arquivo de configuração (default) dominio-cliente { // JBoss LoginModule implementation org.jboss.security.ClientLoginModule }; required; Informe ao cliente a localização do arquivo através da propriedade java.security.auth.login.config: > java Prog -Djava.security.auth.login.config=auth.txt JARs do JBossSX: jbosssx-client.jar (além dos outros JARs necessários para o cliente JBoss) 10
  • 11. Domínio de clientes dentro de containers Para clientes que executam dentro do servidor (ex: servlets, JSP), chame o mesmo login module através de domínio definido na configuração do JBoss Ex: domínio declarado em login-config.xml: <application-policy name="dominio-cliente"> <authentication> <login-module code="org.jboss.security.ClientLoginModule" flag="required"> </login-module> </authentication> </application-policy> 11
  • 12. Cliente standalone padrão JAAS para login public class HelloClient { public static void main(String[] args) throws Exception { LoginContext loginCtx = null; Encapsula dados de try { autenticação // Cria CallBackHandler CallbackHandler handler = new HelloCallbackHandler(); // Carrega configuração loginCtx = new LoginContext("dominio-cliente", handler); // Faz o login Dominio do cliente Faz o login aqui loginCtx.login(); (veja slides anteriores) } catch (LoginException e) { System.out.println("Login failed"); System.exit(1); } // Executa ação privilegiada propagando contexto de segurança Context ctx = new InitialContext(System.getProperties()); Object obj = ctx.lookup("SecureHelloEJB"); HelloHome home = (HelloHome) PortableRemoteObject.narrow(obj, HelloHome.class); Hello hello = home.create(); Chama métodos System.out.println(hello.hello()); privilegiados } } 12
  • 13. JAAS CallbackHandler import javax.security.auth.*; import javax.security.auth.callback.*; import javax.security.auth.login.*; public class HelloCallbackHandler implements CallbackHandler { private String username; private String password; GUI simples para entrada de texto public HelloCallbackHandler() { LoginDialog dialog = new LoginDialog("User Authentication Required"); this.username = dialog.getData()[0]; Preenche array de callbacks this.password = dialog.getData()[1]; } recebido com nome e senha lidos public void handle(Callback[] callbacks) throws java.io.IOException, UnsupportedCallbackException { for (int i = 0; i < callbacks.length; i++) { if (callbacks[i] instanceof NameCallback) { NameCallback nc = (NameCallback) callbacks[i]; nc.setName(username); } else if (callbacks[i] instanceof PasswordCallback) { PasswordCallback pc = (PasswordCallback) callbacks[i]; pc.setPassword( this.preparePassword(password) ); } else throw new UnsupportedCallbackException(callbacks[i], "Error"); } } private char[] preparePassword(String word) { return word.toCharArray(); // ou rotina de criptografia } } 13
  • 14. Exemplo JAAS: como executar Diretório cap13/exemplos/mejb Configuração Configure build.properties Edite usuários e grupos em lib/users.properties e lib/roles.properties Use targets do Ant > ant jboss.deploy (para instalar) > ant run.jboss.client (para rodar) Digite nome e senha compatíveis com arquivos de configuração Tente logar como usuário válido não autorizado (niquel) 14
  • 15. Aplicação exemplo: ejb-jar.xml <ejb-jar> <enterprise-beans> <session> <ejb-name>SecureHelloEJB</ejb-name> <home>examples.HelloHome</home> <remote>examples.Hello</remote> <ejb-class>examples.HelloBean</ejb-class> <session-type>Stateless</session-type> <transaction-type>Container</transaction-type> </session> </enterprise-beans> <assembly-descriptor> Todos os métodos <security-role> acessíveis a TestRole <role-name>TestRole</role-name> </security-role> <method-permission> <role-name>TestRole</role-name> <method> <ejb-name>SecureHelloEJB</ejb-name> <method-name>*</method-name> </method> </method-permission> Veja código exemplo em cap13/exemplos/mejb </assembly-descriptor> </ejb-jar> 15
  • 16. Propagação da identidade do principal A identidade do principal é propagada nas chamadas feitas no contexto do método chamado pelo cliente Este é o comportamento default, que também pode ser declarado explicitamente no DD <entity> ... <security-identity> <use-caller-identity /> <security-identity> ... </entity> Uma exceção será provocada caso o método chame algum método que o perfil associado com o principal não tenha autorização para executar 16
  • 17. Troca de identidade Para executar métodos privilegiados, um bean pode trocar de identidade A nova identidade será propagada em todos os seus métodos e nos métodos chamados por eles <entity> ... <security-identity> <run-as> <role-name>admin</role-name> </run-as> <security-identity> ... </entity> 17
  • 18. Autorização: controle programático Não há vantagens em se controlar o acesso aos recursos apenas via código Controle de acesso não é tarefa do bean provider (programador), mas do assembler ou deployer Por outro lado, o controle declarativo muitas vezes é insuficiente, por exemplo Um método que é acessível por um grupo precisa identificar membros desse grupo para limitar acesso a certas partes do código Métodos que podem ser acessados por vários grupos, mas de acordo com certos algoritmos 18
  • 19. Métodos de EJBContext Para controle de acesso no código, há dois métodos em EJBContext (disponível para todos os beans) getCallerPrincipal(): retorna javax.security.Principal que identifica o usuário que está logado. Use getName() no objeto retornado para recuperar o nome (String) isCallerInRole(String role): retorna true se usuário logado faz parte do papel passado como argumento. O nome passado pode não ser o mesmo usado no deployment descriptor, mas um alias. String loggedUser = ctx.getCallerPrincipal().getName(); if( !ctx.isCallerInRole("administrador")) { if (!loggedUser.equals(userid)) { throw new AcessoIlegalException("..."); } } 19
  • 20. Alias para papéis no DD Permite que component assembler ou deployer utilize nome usado pelo programador no código-fonte e associe ao nome do papel declarado no deployment descriptor </entity> ... <security-role-ref> <role-name>admin</role-name> <role-link>administrador</role-link> </security-role-ref> ... </entity> A declaração do <security-role-ref> é obrigatória sempre que houver controle de acesso no código (mesmo se o nome usado no código for igual ao declarado no DD) if(!ctx.isCallerInRole("administrador")) { if (!loggedUser.equals(userid)) { <assembly-descriptor> throw new Exception("..."); <security-role> } <role-name>admin</role-name> } </security-role> ... </assembly-descriptor> 20
  • 21. Configuração do JBoss Para executar os exercícios e os outros exemplos (deste e dos próximos capítulos) é preciso configurar a tabela com usuários e estabelecer um domínio de segurança no JBoss Roteiro Abra o arquivo login-config.xml e inclua as duas definições de domínio contidas no arquivo cap13/jaas.xml. Ele define um LoginModule para acesso JDBC. Rode ant create-table para criar as tabelas e povoá-las com os usuários e grupos necessários Reinicie o JBoss para que ele leia as configurações 21
  • 22. Exercício 1. a) Crie uma aplicação contendo um session bean com dois métodos listarNomes() adicionarNome(String nome) 1. b) Crie dois papéis (roles): User e Admin e defina as permissões dos métodos Admin: pode listarNomes() e adicionarNome() User: pode listarNomes() 1. c) Implemente um cliente que faça o login e chame um dos dois métodos 1. d) Configure usuários do sistema, associe-os aos papéis existentes e rode a aplicação 2. Imprima o CallerPrincipal e informe se o método está ou não sendo chamado por Admin 22
  • 23. Fontes [1] JBoss Group. JBoss User's Manual. Chapter 8: The JBoss Security Extension Framework. [2] Erik Jendrock. Security. Sun J2EE Tutorial. [3] Richard Monson-Haefel, Enterprise JavaBeans, 3rd. Edition, O'Reilly and Associates, 2001 [4] Ed Roman. Mastering EJB 2. 23
  • 24. Curso J530: Enterprise JavaBeans Revisão 2.0 - Junho de 2003 © 2001-2003, Helder da Rocha (helder@acm.org) argonavis.com.br 24