SlideShare une entreprise Scribd logo

Segurança e Controle de errros

Denis L Presciliano
Denis L Presciliano

Aqui são apresentados conceitos básicos sobre o paradigma web. Simples e rápido. /**Depois que entrei no mundo Java, começei a procurar por conteúdo na internet para estudar, então me deparei com um ótimo site, http://www.argonavis.com.br, de um grande cara chamado Helder Rocha, que disponibiliza este mesmo conteúdo em seu site também. Obrigado pela ajuda a comunidade.*/

Technologie
1  sur  16
Télécharger pour lire hors ligne
J550 Segurança e Controle de erros Helder da Rocha (helder@acm.org) www.argonavis.com.br 1
Assuntos abordados Este módulo trata de dois assuntos Como mapear erros HTTP e exceções Java a servlets ou páginas HTML e JSP, criando respostas personalizadas e servlets que possam lidar com situações de erro Como implementar autenticação e autorização baseada em perfis do usuário usando servlets, permitindo que determinados recursos fiquem protegidos por senha e com acesso limitado a usuários que pertençam a determinado perfil 2
Erros Dois tipos de erros podem ocorrer em servlets Erros HTTP Exceções Erros HTTP são identificados pelo servidor através de um código de status Códigos de status que começam com 1, 2 ou 3 não indicam erro Códigos que começam com 4 (404, 401, etc.) indicam erro originado no cliente (que, em tese, poderia ser corrigido pelo browser - ex: desviar para outra página) Códigos que começam com 5 (500, 501, etc.) indicam erro no servidor (não adianta o browser tentar evitá-lo) 3
Comportamento default Quando acontece um erro do servidor, causado ou não por uma exceção, o servidor mostra uma página default 4
Páginas de erro Configurando-se o web.xml, pode-se estabelecer páginas de erro customizadas para cada código de erro HTTP e cada exceção ocorrida O exemplo abaixo usa <error-page> para informar uma página HTML que irá tratar erros 404 e um servlet que irá receber FileNotFoundException <error-page> <error-code>404</error-code> <location>/notFound.html</location> </error-page> Pode haver qualquer número de elementos <error-page> mas apenas um para cada tipo de exceção específica ou código de erro HTTP <error-page> <exception-type>java.io.FileNotFoundException</exception-type> <location>/servlet/j550.error.IOExceptionServlet</location> </error-page> Se você define <error-page> de exceções não defina um <error-page> para o erro HTTP 500: este é o código para todas as exceções! 5
Atributos especiais Destinos de erro recebem dois atributos na requisição que podem ser lidas se forem páginas geradas dinamicamente (servlet ou JSP) para melhor exibir informações de erro Nome: javax.servlet.error.request_uri. Tipo: String Nome: javax.servlet.error.exception. Tipo: Throwable A exceção recebida corresponde à exceção embutida dentro de ServletException (a causa) public void doGet(... request, ... response) { Throwable exception = (Throwable) request.getAttribute("javax.servlet.error.exception"); String urlCausadora = (String) request.getAttribute("javax.servlet.error.request_uri"); // Faça alguma coisa com os dados recebidos } 6
Recursos de segurança A especificação Servlet 2.3 permite a configuração de segurança em dois domínios Autenticação: o processo de verificação da identidade do usuário que solicita um recurso - quem é? Autorização: processo de verificação das permissões que um usuário autenticado possui - o que ele pode fazer? Os dois recursos podem ser configurados para cada contexto no web.xml definindo Login Configuration: configuração de métodos de autenticação utilizados Security Roles: perfis de usuário para autorização Security Constraint: URLs e métodos de acesso permitidos e perfis de segurança necessários para acessá-los 7
Configuração de Login Escolha uma dentre quatro técnicas de autenticação BASIC: mostra uma janela do browser que recebe nome e senha. Os dados são enviados em conexão insegura FORM: igual a BASIC mas em vez de usar uma janela do browser, pemite o uso de um formulário HTML DIGEST: usa criptografia fraca para enviar os dados CLIENT-CERT: requer certificado X-509 para funcionar e usa criptografia forte (128-bit) BASIC, FORM e DIGEST são seguros se usados com SSL <login-config> <auth-method> BASIC </auth-method> </login-config> <login-config> <auth-method>FORM</auth-method> <form-login-config> <form-login-page>/form.html</form-login-page> <form-error-page>/erro.html</form-error-page> </form-login-config> </login-config> 8
Autorização: perfis de usuário Uma vez definida a forma de autenticação, é preciso definir perfis de usuário habilitados a acessar os recursos A declaração de perfis de usuários é feita no web.xml usando <security-role>. A associação desses perfis com usuários reais é dependente de servidor <security-role> <role-name>administrador</role-name> </security-role> <security-role> <role-name>membro</role-name> </security-role> <security-role> <role-name>visitante</role-name> </security-role> 9
Associação de perfis com usuário no Tomcat Para definir domínios de segurança no Tomcat veja a documentação do servidor sobre security realms: http://localhost:8080/tomcat-docs/realm-howto.html Há três níveis diferentes de configuração. Um grava os dados em banco relacional (JDBC Realm), outro em LDAP via JNDI (JNDI Realm) e o mais simples usa um par de arquivos (Memory Realm) Para usar Memory Realm, localize o arquivo tomcatusers.xml no diretório conf/ em $TOMCAT_HOME e acrescente os usuários, senhas e perfis desejados <tomcat-users> <user name="einstein" password="e=mc2" roles="visitante" /> <user name="caesar" password="rubicon" roles="administrador, membro" /> <user name="brutus" password="tomcat" roles="membro" /> </tomcat-users> 10
Web-Resource Collection A coleção de recursos Web protegidos e os métodos de acesso que podem ser usados para acessá-los é definido em um bloco <web-resource-collection> definido dentro de <security-constraint> Inclui URL-patterns <url-pattern> que indicam quais os mapeamentos que abrangem a coleção Inclui um <http-method> para cada método permitido <security-constraint> <web-resource-collection> <web-resource-name>Seção de Assinantes</web-resource-name> <url-pattern>/membros/*</url-pattern> <url-pattern>/preferencias/config.jsp</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> ... </security-constraint> 11
Security Constraint O Web Resource Collection faz parte do Security Constraint que associa perfis de usuário (papéis lógicos) à coleção <security-constraint> <web-resource-collection> <web-resource-name>Seção de Assinantes</web-resource-name> <url-pattern>/membros/*</url-pattern> <url-pattern>/preferencias/config.jsp</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint> <role-name>administrador</role-name> </auth-constraint> </security-constraint> ... <security-constraint> ... outras coleções e constraint ... </security-constraint> 12
Form-based Login Para autenticação por formulário, é preciso definir no <login-config> FORM como <auth-method> Adicionalmente, é informada a página que implementa o formulário. Esta página deve conter um elemento <FORM> HTML com algumas restrições Atributo ACTION de <FORM> deve conter: j_security_check Campo <INPUT> do nome deve conter: j_username Campo <INPUT> da senha deve conter: j_password <form action="j_security_check" method="POST"> <p>Digite seu nome de usuário: <input type="text" name="j_username"> <p>Digite sua senha: <input type="password" name="j_password"> <input type="submit"> </form> 13
Exercícios 1. Mapeamentos de erro: crie uma página especial para erros 404 na sua aplicação. 2. Mapeamentos de exceção: redirecione qualquer Exception para uma página especial que imprima a classe da exceção ocorrida Use getClass() para obter o nome da classe do objeto. 3. Configure os usuários e perfis mostrados nos exemplos no seu Tomcat e implemente um login BASIC para que Apenas membros possam mandar mensagens para o forum Apenas usuários visitantes registrados possam vê-las Qualquer um possa ver a página inicial (index.html) Administradores tenham acesso a todo o sistema 4. Crie um formulário de login em uma página HTML e altere o programa do exercício anterior para utilizá-lo. 14
Exercício 3. Implemente uma tela de login para a aplicação da Loja Virtual alterando LojaServlet para que peça além do e-mail, uma senha Se o usuário for administrador, redirecione-o para AdminLojaServlet Se usuário foi registrado, redirecione-o para ComprasServlet Se usuário não for registrado, envie-o para página onde possa se registrar* Use BASIC ou FORM para autenticação * Não precisa implementar o registro. Se desejar, manipule o arquivo XML do Tomcat usando a API JAXP (javax.xml) ou use o JDBC Security Realm do Tomcat para guardar as informações em um banco de dados 15
helder@acm.org argonavis.com.br 16

Recommandé

ASP.NET - Segurança
ASP.NET - SegurançaASP.NET - Segurança
ASP.NET - Segurança
Leonardo Lourenço Silva
 
Workshop05
Workshop05Workshop05
Workshop05
Philippe Guillaume, MBA,CISSP, COBIT
 
Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em açãoRafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
William Costa
 
Sistema php
Sistema phpSistema php
Sistema php
Nuno Bastos
 
Jaas apresentado
Jaas apresentadoJaas apresentado
Jaas apresentado
Bruno Taboada
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
William Costa
 

Recommandé

ASP.NET - Segurança
ASP.NET - SegurançaASP.NET - Segurança
ASP.NET - Segurança
Leonardo Lourenço Silva
 
Workshop05
Workshop05Workshop05
Workshop05
Philippe Guillaume, MBA,CISSP, COBIT
 
Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em açãoRafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia - Yii Framework, principais características e em ação
Rafael Garcia
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
William Costa
 
Sistema php
Sistema phpSistema php
Sistema php
Nuno Bastos
 
Jaas apresentado
Jaas apresentadoJaas apresentado
Jaas apresentado
Bruno Taboada
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
William Costa
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7
Helder da Rocha
 
Quem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe SecQuem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe Sec
William Costa
 
Java www
Java wwwJava www
Java www
Mario Jorge Pereira
 
Uma abordagem ao Java EE 6
Uma abordagem ao Java EE 6Uma abordagem ao Java EE 6
Uma abordagem ao Java EE 6
danielfcampos
 
Sql injection
Sql injectionSql injection
Sql injection
Tiago Natel de Moura
 
PHP FrameWARks - Zend Framework
PHP FrameWARks - Zend FrameworkPHP FrameWARks - Zend Framework
PHP FrameWARks - Zend Framework
Marcio Albuquerque
 
Wicket 2008
Wicket 2008Wicket 2008
Wicket 2008
Claudio Miranda
 
Palestra sql injection oficial
Palestra sql injection oficialPalestra sql injection oficial
Palestra sql injection oficial
Festival Software Livre
 
API de segurança do Java EE 8
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8
Helder da Rocha
 
API 101: o que é, onde vive, como se alimenta?
API 101: o que é, onde vive, como se alimenta?API 101: o que é, onde vive, como se alimenta?
API 101: o que é, onde vive, como se alimenta?
Diana Ungaro Arnos
 
APIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentamAPIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentam
Diana Ungaro Arnos
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
Flavio Souza
 
Tutorial +login+mvc
Tutorial +login+mvcTutorial +login+mvc
Tutorial +login+mvc
Diego Feitoza
 
Curso de Java Persistence API (JPA) (Java EE 7)
Curso de Java Persistence API (JPA) (Java EE 7)Curso de Java Persistence API (JPA) (Java EE 7)
Curso de Java Persistence API (JPA) (Java EE 7)
Helder da Rocha
 
Integração com Banco de Dados
Integração com Banco de DadosIntegração com Banco de Dados
Integração com Banco de Dados
Denis L Presciliano
 
J2EE e Datasources
J2EE e DatasourcesJ2EE e Datasources
J2EE e Datasources
Denis L Presciliano
 
Aula 02 Primeiro Cod Java
Aula 02 Primeiro Cod JavaAula 02 Primeiro Cod Java
Aula 02 Primeiro Cod Java
Sergio Silva
 
Contextos
ContextosContextos
Contextos
Denis L Presciliano
 
Como construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsComo construir aplicações gráficas e applets
Como construir aplicações gráficas e applets
Denis L Presciliano
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBC
Denis L Presciliano
 
Funmentos de Objetos Remotos
Funmentos de Objetos RemotosFunmentos de Objetos Remotos
Funmentos de Objetos Remotos
Denis L Presciliano
 
Segurança J2EE
Segurança J2EESegurança J2EE
Segurança J2EE
Rodrigo Cândido da Silva
 

Contenu connexe

Tendances

APIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentamAPIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentam
Diana Ungaro Arnos
 

Tendances (14)

Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7
 
Quem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe SecQuem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe Sec
 
Java www
Java wwwJava www
Java www
 
Uma abordagem ao Java EE 6
Uma abordagem ao Java EE 6Uma abordagem ao Java EE 6
Uma abordagem ao Java EE 6
 
Sql injection
Sql injectionSql injection
Sql injection
 
PHP FrameWARks - Zend Framework
PHP FrameWARks - Zend FrameworkPHP FrameWARks - Zend Framework
PHP FrameWARks - Zend Framework
 
Wicket 2008
Wicket 2008Wicket 2008
Wicket 2008
 
Palestra sql injection oficial
Palestra sql injection oficialPalestra sql injection oficial
Palestra sql injection oficial
 
API de segurança do Java EE 8
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8
 
API 101: o que é, onde vive, como se alimenta?
API 101: o que é, onde vive, como se alimenta?API 101: o que é, onde vive, como se alimenta?
API 101: o que é, onde vive, como se alimenta?
 
APIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentamAPIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentam
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
 
Tutorial +login+mvc
Tutorial +login+mvcTutorial +login+mvc
Tutorial +login+mvc
 
Curso de Java Persistence API (JPA) (Java EE 7)
Curso de Java Persistence API (JPA) (Java EE 7)Curso de Java Persistence API (JPA) (Java EE 7)
Curso de Java Persistence API (JPA) (Java EE 7)
 

En vedette

Como construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsComo construir aplicações gráficas e applets
Como construir aplicações gráficas e applets
Denis L Presciliano
 

En vedette (7)

Integração com Banco de Dados
Integração com Banco de DadosIntegração com Banco de Dados
Integração com Banco de Dados
 
J2EE e Datasources
J2EE e DatasourcesJ2EE e Datasources
J2EE e Datasources
 
Aula 02 Primeiro Cod Java
Aula 02 Primeiro Cod JavaAula 02 Primeiro Cod Java
Aula 02 Primeiro Cod Java
 
Contextos
ContextosContextos
Contextos
 
Como construir aplicações gráficas e applets
Como construir aplicações gráficas e appletsComo construir aplicações gráficas e applets
Como construir aplicações gráficas e applets
 
Fundamentos de JDBC
Fundamentos de JDBCFundamentos de JDBC
Fundamentos de JDBC
 
Funmentos de Objetos Remotos
Funmentos de Objetos RemotosFunmentos de Objetos Remotos
Funmentos de Objetos Remotos
 

Similaire à Segurança e Controle de errros

Autenticação e Controle de Acesso
Autenticação e Controle de AcessoAutenticação e Controle de Acesso
Autenticação e Controle de Acesso
Denis L Presciliano
 
Java Web - MVC básico com JSP e Servlets
Java Web - MVC básico com JSP e ServletsJava Web - MVC básico com JSP e Servlets
Java Web - MVC básico com JSP e Servlets
Eduardo Mendes
 
[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2
Felipe Pimentel
 
Aula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebAula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação Web
Dalton Martins
 
Trabalho ProgramaçãO Comercial Ii
Trabalho ProgramaçãO Comercial IiTrabalho ProgramaçãO Comercial Ii
Trabalho ProgramaçãO Comercial Ii
Mateus Ramos Pereira
 

Similaire à Segurança e Controle de errros (20)

Segurança J2EE
Segurança J2EESegurança J2EE
Segurança J2EE
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Autenticação e Controle de Acesso
Autenticação e Controle de AcessoAutenticação e Controle de Acesso
Autenticação e Controle de Acesso
 
Produtividade com JavaServer Faces
Produtividade com JavaServer FacesProdutividade com JavaServer Faces
Produtividade com JavaServer Faces
 
Tutorial struts
Tutorial strutsTutorial struts
Tutorial struts
 
Como escolher o Framework Java para web?
Como escolher o Framework Java para web?Como escolher o Framework Java para web?
Como escolher o Framework Java para web?
 
Spring Security e Spring Boot Aula - 2018
Spring Security e Spring Boot Aula - 2018Spring Security e Spring Boot Aula - 2018
Spring Security e Spring Boot Aula - 2018
 
PHP FrameWARks - FISL
PHP FrameWARks - FISLPHP FrameWARks - FISL
PHP FrameWARks - FISL
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOL
 
Java Web - MVC básico com JSP e Servlets
Java Web - MVC básico com JSP e ServletsJava Web - MVC básico com JSP e Servlets
Java Web - MVC básico com JSP e Servlets
 
Formas de autenticação tomcat
Formas de autenticação tomcatFormas de autenticação tomcat
Formas de autenticação tomcat
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento web
 
[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2[CLPE] Novidades do Asp.net mvc 2
[CLPE] Novidades do Asp.net mvc 2
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
 
Aula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação WebAula 11 - Controle de sessão em PHP - Programação Web
Aula 11 - Controle de sessão em PHP - Programação Web
 
Trabalho ProgramaçãO Comercial Ii
Trabalho ProgramaçãO Comercial IiTrabalho ProgramaçãO Comercial Ii
Trabalho ProgramaçãO Comercial Ii
 
ASP.NET AJAX
ASP.NET AJAXASP.NET AJAX
ASP.NET AJAX
 
JavaServer Faces
JavaServer FacesJavaServer Faces
JavaServer Faces
 
Apache Struts
Apache StrutsApache Struts
Apache Struts
 
Web app flaws
Web app flawsWeb app flaws
Web app flaws
 

Plus de Denis L Presciliano

Coleções Propriedade, Resources e Strings
Coleções Propriedade, Resources e StringsColeções Propriedade, Resources e Strings
Coleções Propriedade, Resources e Strings
Denis L Presciliano
 
Funcamentos de Programação Concorrente
Funcamentos de Programação ConcorrenteFuncamentos de Programação Concorrente
Funcamentos de Programação Concorrente
Denis L Presciliano
 
Reuso com Herança e Composição
Reuso com Herança e ComposiçãoReuso com Herança e Composição
Reuso com Herança e Composição
Denis L Presciliano
 
Gerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache AntGerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache Ant
Denis L Presciliano
 
Tipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxoTipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxo
Denis L Presciliano
 
Como usar a documentação da API Java 2
Como usar a documentação da API Java 2Como usar a documentação da API Java 2
Como usar a documentação da API Java 2
Denis L Presciliano
 
Configuração do ambiente JEdit + Ant
Configuração do ambiente JEdit + AntConfiguração do ambiente JEdit + Ant
Configuração do ambiente JEdit + Ant
Denis L Presciliano
 
Programação Orientada a objetos em Java
Programação Orientada a objetos em JavaProgramação Orientada a objetos em Java
Programação Orientada a objetos em Java
Denis L Presciliano
 

Plus de Denis L Presciliano (20)

Classes internas
Classes internasClasses internas
Classes internas
 
Entrada e Saída
Entrada e SaídaEntrada e Saída
Entrada e Saída
 
Coleções Propriedade, Resources e Strings
Coleções Propriedade, Resources e StringsColeções Propriedade, Resources e Strings
Coleções Propriedade, Resources e Strings
 
Funcamentos de Programação Concorrente
Funcamentos de Programação ConcorrenteFuncamentos de Programação Concorrente
Funcamentos de Programação Concorrente
 
Testes de Unidade com JUnit
Testes de Unidade com JUnitTestes de Unidade com JUnit
Testes de Unidade com JUnit
 
Erros, exceções e asserções
Erros, exceções e asserçõesErros, exceções e asserções
Erros, exceções e asserções
 
Interfaces e Porlimosfismo
Interfaces e PorlimosfismoInterfaces e Porlimosfismo
Interfaces e Porlimosfismo
 
Reuso com Herança e Composição
Reuso com Herança e ComposiçãoReuso com Herança e Composição
Reuso com Herança e Composição
 
Gerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache AntGerenciamento de projetos com o Apache Ant
Gerenciamento de projetos com o Apache Ant
 
Pacotes e Encapsulamento
Pacotes e EncapsulamentoPacotes e Encapsulamento
Pacotes e Encapsulamento
 
Como criar classes e objetos
Como criar classes e objetosComo criar classes e objetos
Como criar classes e objetos
 
Tipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxoTipos, literais, operadoes e controle de fluxo
Tipos, literais, operadoes e controle de fluxo
 
Como usar a documentação da API Java 2
Como usar a documentação da API Java 2Como usar a documentação da API Java 2
Como usar a documentação da API Java 2
 
Configuração do ambiente JEdit + Ant
Configuração do ambiente JEdit + AntConfiguração do ambiente JEdit + Ant
Configuração do ambiente JEdit + Ant
 
Programação Orientada a objetos em Java
Programação Orientada a objetos em JavaProgramação Orientada a objetos em Java
Programação Orientada a objetos em Java
 
Introdução a tecnologia Java
Introdução a tecnologia JavaIntrodução a tecnologia Java
Introdução a tecnologia Java
 
Fundamentos de Sockets
Fundamentos de SocketsFundamentos de Sockets
Fundamentos de Sockets
 
J530 15 workshop
J530 15 workshopJ530 15 workshop
J530 15 workshop
 
J530 14 xdoclet
J530 14 xdocletJ530 14 xdoclet
J530 14 xdoclet
 
J530 12 transactions
J530 12 transactionsJ530 12 transactions
J530 12 transactions
 

Dernier

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Dernier (8)

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 

Segurança e Controle de errros

  • 1. J550 Segurança e Controle de erros Helder da Rocha (helder@acm.org) www.argonavis.com.br 1
  • 2. Assuntos abordados Este módulo trata de dois assuntos Como mapear erros HTTP e exceções Java a servlets ou páginas HTML e JSP, criando respostas personalizadas e servlets que possam lidar com situações de erro Como implementar autenticação e autorização baseada em perfis do usuário usando servlets, permitindo que determinados recursos fiquem protegidos por senha e com acesso limitado a usuários que pertençam a determinado perfil 2
  • 3. Erros Dois tipos de erros podem ocorrer em servlets Erros HTTP Exceções Erros HTTP são identificados pelo servidor através de um código de status Códigos de status que começam com 1, 2 ou 3 não indicam erro Códigos que começam com 4 (404, 401, etc.) indicam erro originado no cliente (que, em tese, poderia ser corrigido pelo browser - ex: desviar para outra página) Códigos que começam com 5 (500, 501, etc.) indicam erro no servidor (não adianta o browser tentar evitá-lo) 3
  • 4. Comportamento default Quando acontece um erro do servidor, causado ou não por uma exceção, o servidor mostra uma página default 4
  • 5. Páginas de erro Configurando-se o web.xml, pode-se estabelecer páginas de erro customizadas para cada código de erro HTTP e cada exceção ocorrida O exemplo abaixo usa <error-page> para informar uma página HTML que irá tratar erros 404 e um servlet que irá receber FileNotFoundException <error-page> <error-code>404</error-code> <location>/notFound.html</location> </error-page> Pode haver qualquer número de elementos <error-page> mas apenas um para cada tipo de exceção específica ou código de erro HTTP <error-page> <exception-type>java.io.FileNotFoundException</exception-type> <location>/servlet/j550.error.IOExceptionServlet</location> </error-page> Se você define <error-page> de exceções não defina um <error-page> para o erro HTTP 500: este é o código para todas as exceções! 5
  • 6. Atributos especiais Destinos de erro recebem dois atributos na requisição que podem ser lidas se forem páginas geradas dinamicamente (servlet ou JSP) para melhor exibir informações de erro Nome: javax.servlet.error.request_uri. Tipo: String Nome: javax.servlet.error.exception. Tipo: Throwable A exceção recebida corresponde à exceção embutida dentro de ServletException (a causa) public void doGet(... request, ... response) { Throwable exception = (Throwable) request.getAttribute("javax.servlet.error.exception"); String urlCausadora = (String) request.getAttribute("javax.servlet.error.request_uri"); // Faça alguma coisa com os dados recebidos } 6
  • 7. Recursos de segurança A especificação Servlet 2.3 permite a configuração de segurança em dois domínios Autenticação: o processo de verificação da identidade do usuário que solicita um recurso - quem é? Autorização: processo de verificação das permissões que um usuário autenticado possui - o que ele pode fazer? Os dois recursos podem ser configurados para cada contexto no web.xml definindo Login Configuration: configuração de métodos de autenticação utilizados Security Roles: perfis de usuário para autorização Security Constraint: URLs e métodos de acesso permitidos e perfis de segurança necessários para acessá-los 7
  • 8. Configuração de Login Escolha uma dentre quatro técnicas de autenticação BASIC: mostra uma janela do browser que recebe nome e senha. Os dados são enviados em conexão insegura FORM: igual a BASIC mas em vez de usar uma janela do browser, pemite o uso de um formulário HTML DIGEST: usa criptografia fraca para enviar os dados CLIENT-CERT: requer certificado X-509 para funcionar e usa criptografia forte (128-bit) BASIC, FORM e DIGEST são seguros se usados com SSL <login-config> <auth-method> BASIC </auth-method> </login-config> <login-config> <auth-method>FORM</auth-method> <form-login-config> <form-login-page>/form.html</form-login-page> <form-error-page>/erro.html</form-error-page> </form-login-config> </login-config> 8
  • 9. Autorização: perfis de usuário Uma vez definida a forma de autenticação, é preciso definir perfis de usuário habilitados a acessar os recursos A declaração de perfis de usuários é feita no web.xml usando <security-role>. A associação desses perfis com usuários reais é dependente de servidor <security-role> <role-name>administrador</role-name> </security-role> <security-role> <role-name>membro</role-name> </security-role> <security-role> <role-name>visitante</role-name> </security-role> 9
  • 10. Associação de perfis com usuário no Tomcat Para definir domínios de segurança no Tomcat veja a documentação do servidor sobre security realms: http://localhost:8080/tomcat-docs/realm-howto.html Há três níveis diferentes de configuração. Um grava os dados em banco relacional (JDBC Realm), outro em LDAP via JNDI (JNDI Realm) e o mais simples usa um par de arquivos (Memory Realm) Para usar Memory Realm, localize o arquivo tomcatusers.xml no diretório conf/ em $TOMCAT_HOME e acrescente os usuários, senhas e perfis desejados <tomcat-users> <user name="einstein" password="e=mc2" roles="visitante" /> <user name="caesar" password="rubicon" roles="administrador, membro" /> <user name="brutus" password="tomcat" roles="membro" /> </tomcat-users> 10
  • 11. Web-Resource Collection A coleção de recursos Web protegidos e os métodos de acesso que podem ser usados para acessá-los é definido em um bloco <web-resource-collection> definido dentro de <security-constraint> Inclui URL-patterns <url-pattern> que indicam quais os mapeamentos que abrangem a coleção Inclui um <http-method> para cada método permitido <security-constraint> <web-resource-collection> <web-resource-name>Seção de Assinantes</web-resource-name> <url-pattern>/membros/*</url-pattern> <url-pattern>/preferencias/config.jsp</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> ... </security-constraint> 11
  • 12. Security Constraint O Web Resource Collection faz parte do Security Constraint que associa perfis de usuário (papéis lógicos) à coleção <security-constraint> <web-resource-collection> <web-resource-name>Seção de Assinantes</web-resource-name> <url-pattern>/membros/*</url-pattern> <url-pattern>/preferencias/config.jsp</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint> <role-name>administrador</role-name> </auth-constraint> </security-constraint> ... <security-constraint> ... outras coleções e constraint ... </security-constraint> 12
  • 13. Form-based Login Para autenticação por formulário, é preciso definir no <login-config> FORM como <auth-method> Adicionalmente, é informada a página que implementa o formulário. Esta página deve conter um elemento <FORM> HTML com algumas restrições Atributo ACTION de <FORM> deve conter: j_security_check Campo <INPUT> do nome deve conter: j_username Campo <INPUT> da senha deve conter: j_password <form action="j_security_check" method="POST"> <p>Digite seu nome de usuário: <input type="text" name="j_username"> <p>Digite sua senha: <input type="password" name="j_password"> <input type="submit"> </form> 13
  • 14. Exercícios 1. Mapeamentos de erro: crie uma página especial para erros 404 na sua aplicação. 2. Mapeamentos de exceção: redirecione qualquer Exception para uma página especial que imprima a classe da exceção ocorrida Use getClass() para obter o nome da classe do objeto. 3. Configure os usuários e perfis mostrados nos exemplos no seu Tomcat e implemente um login BASIC para que Apenas membros possam mandar mensagens para o forum Apenas usuários visitantes registrados possam vê-las Qualquer um possa ver a página inicial (index.html) Administradores tenham acesso a todo o sistema 4. Crie um formulário de login em uma página HTML e altere o programa do exercício anterior para utilizá-lo. 14
  • 15. Exercício 3. Implemente uma tela de login para a aplicação da Loja Virtual alterando LojaServlet para que peça além do e-mail, uma senha Se o usuário for administrador, redirecione-o para AdminLojaServlet Se usuário foi registrado, redirecione-o para ComprasServlet Se usuário não for registrado, envie-o para página onde possa se registrar* Use BASIC ou FORM para autenticação * Não precisa implementar o registro. Se desejar, manipule o arquivo XML do Tomcat usando a API JAXP (javax.xml) ou use o JDBC Security Realm do Tomcat para guardar as informações em um banco de dados 15