Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Java Magazine DIGITAL ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
dê seu feedback
post favorito
Segurança em Java EE- Java Magazine 88
Este artigo apresenta as facilidades da plataforma Java EE no que diz respeito ao seu serviço de segurança, que pode ser utilizado por aplicações web. Ele é explicado em detalhes e exemplificado com exemplos práticos.
Java Magazine 88
[Artigo já está disponível no Leitor Digital DevMedia®. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Java Magazine 88
[Artigo já está disponível no Leitor Digital DevMedia®. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Java Magazine 88
Segurança em Java EE
A segurança é, sem dúvida, um requisito muito importante que está presente em grande parte das aplicações. Elas normalmente possuem recursos acessíveis a apenas um grupo específico de pessoas, as quais devem ser devidamente identificadas.
A plataforma Java EE dá todo o suporte às aplicações que desejam restringir acesso aos seus recursos. Através da segurança declarativa, é possível habilitar a segurança por meio de configurações na aplicação, o que evita alterações no código. Quando é necessário um controle mais refinado dos acessos, é possível utilizar a segurança programática, também suportada pela plataforma. Estes dois tipos de abordagem permitem uma rápida implementação dos requisitos de segurança com pouca ou nenhuma intrusão no código da aplicação.
A proposta deste artigo é mostrar como o acesso a recursos web de aplicações Java EE podem ser protegidos pelos mecanismos de segurança da plataforma. Serão mostrados alguns exemplos práticos sobre o tema, executando em um servidor web Apache Tomcat.
Autenticação e autorização
Antes de entender como a segurança do Java EE funciona, é fundamental conhecer dois conceitos: autenticação e autorização.
Para entender o que são estes termos, imagine que você trabalha em um prédio de uma grande empresa. Quando você chega ao saguão e se depara com as catracas, é necessário que o seu crachá seja utilizado para liberar o seu acesso. Quando esta atitude é tomada, você está tentando provar para o sistema de segurança do prédio que é realmente a pessoa que diz ser. Isto nada mais é do que um processo de autenticação.
Neste exemplo fictício, a autenticação foi feita através de um crachá. Mas existem outros tipos de autenticação, como biometria, reconhecimento de íris, apresentação de documentos, etc. Em termos de internet, as formas mais comuns de autenticação são através do fornecimento de um nome de usuário e senha e o uso de certificados digitais. Perceba que, seja qual for o mecanismo utilizado, o objetivo deles é a identificação.
Voltando agora ao exemplo. Além da catraca que dá acesso aos funcionários da empresa, suponha que o prédio conta ainda com outras catracas. É possível que, mesmo com o seu crachá, você não consiga passar por todas elas. Isto porque algumas áreas podem ser restritas aos gerentes e diretores, outras ao pessoal operacional, e assim por diante. Esta restrição ao acesso é o processo de autorização, que permite ou nega o acesso a um local dependendo do grupo ao qual o funcionário pertence. Caso você seja um membro do grupo de gerentes da empresa, você tem liberdade para passar pela catraca, por exemplo. Na internet, você pode ou não ter a autorização para acessar determinadas áreas de um site, dependendo dos grupos ao qual você pertence.
"
ATENÇÃO! A exibição deste artigo foi interrompida.
Este é um post disponível para assinantes MVP
A segurança é, sem dúvida, um requisito muito importante que está presente em grande parte das aplicações. Elas normalmente possuem recursos acessíveis a apenas um grupo específico de pessoas, as quais devem ser devidamente identificadas.
A plataforma Java EE dá todo o suporte às aplicações que desejam restringir acesso aos seus recursos. Através da segurança declarativa, é possível habilitar a segurança por meio de configurações na aplicação, o que evita alterações no código. Quando é necessário um controle mais refinado dos acessos, é possível utilizar a segurança programática, também suportada pela plataforma. Estes dois tipos de abordagem permitem uma rápida implementação dos requisitos de segurança com pouca ou nenhuma intrusão no código da aplicação.
A proposta deste artigo é mostrar como o acesso a recursos web de aplicações Java EE podem ser protegidos pelos mecanismos de segurança da plataforma. Serão mostrados alguns exemplos práticos sobre o tema, executando em um servidor web Apache Tomcat.
Autenticação e autorização
Antes de entender como a segurança do Java EE funciona, é fundamental conhecer dois conceitos: autenticação e autorização.
Para entender o que são estes termos, imagine que você trabalha em um prédio de uma grande empresa. Quando você chega ao saguão e se depara com as catracas, é necessário que o seu crachá seja utilizado para liberar o seu acesso. Quando esta atitude é tomada, você está tentando provar para o sistema de segurança do prédio que é realmente a pessoa que diz ser. Isto nada mais é do que um processo de autenticação.
Neste exemplo fictício, a autenticação foi feita através de um crachá. Mas existem outros tipos de autenticação, como biometria, reconhecimento de íris, apresentação de documentos, etc. Em termos de internet, as formas mais comuns de autenticação são através do fornecimento de um nome de usuário e senha e o uso de certificados digitais. Perceba que, seja qual for o mecanismo utilizado, o objetivo deles é a identificação.
Voltando agora ao exemplo. Além da catraca que dá acesso aos funcionários da empresa, suponha que o prédio conta ainda com outras catracas. É possível que, mesmo com o seu crachá, você não consiga passar por todas elas. Isto porque algumas áreas podem ser restritas aos gerentes e diretores, outras ao pessoal operacional, e assim por diante. Esta restrição ao acesso é o processo de autorização, que permite ou nega o acesso a um local dependendo do grupo ao qual o funcionário pertence. Caso você seja um membro do grupo de gerentes da empresa, você tem liberdade para passar pela catraca, por exemplo. Na internet, você pode ou não ter a autorização para acessar determinadas áreas de um site, dependendo dos grupos ao qual você pertence.
"
ATENÇÃO! A exibição deste artigo foi interrompida.
Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Java Magazine DIGITAL ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Você está em:
canal Java
Publicidade
Carlos Eduardo G. Tosin
Space do autor
Instrutor oficial dos cursos on-line de Java da Softblue. Formado em Ciência da Computação pela PUC-PR, pós-graduado em Desenvolvimento de Jogos para Computador pela Universidade Positivo e Mestre em Informática na área de Sistemas Distribuídos, também pela PUC...
Space do autor
0
0
