Laboratorio 7: Seguridad

 
Indice


Seguridad en J2EE

Seguridad declarativa


Para configurar la seguridad basada en roles hay que entender los archivos application.xml y web.xml.

Pasos para proteger un recurso Web:


1) Definir el rol en el fichero application.xml

<security-role>
<role-name>users</role-name>
</security-role>

2) Definir los recursos protegidos Wen el fichero web.xml

<security-constraint>
<web-resource-collection>
<web-resource-name>Unnamed</web-resource-name>
<url-pattern>/hola.html</url-pattern>
<http-method>*</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>users</role-name>
</auth-constraint>
</security-constraint>

3) Elegir el método de autenticación en el fichero web-xml

<login-config>
<auth-method>BASIC</auth-method>
</login-config>
4) Definir los roles en el fichero web.xml

<security-role>
<description>users</description>
<role-name>users</role-name>
</security-role>

En el servidor Orion los usuarios y grupos se almacenan ORION/config/principals.xml.

Cuando instalemos la aplicacion Orion maperará automaticamente roles a grupos.

Cada aplicacion puede utilizar los usuarios a nivel global (config/principals) o proporcionar un fichero principals.xml local a la aplicación.


Seguridad programada


En J2EE es posible acceder a la información de seguridad (usuario y role) con los métodos:

request.getUserPrincipal().getName();

request.isUserInRole("users")


Ejemplo Final


Ejemplo: ejemplo.zip


1) Descomprimid el fichero en ORION/demo

2) Insertar esta linea en ORION/server.xml

<application name="buba2" path="../demo/buba2" />
3) Insertar esta linea en ORION/default-web-site.xml

<web-app application="buba2" name="conv-web" root="/buba2" />

4) Conectarse a http://localhost/buba2/

5) Conectarse a http://localhost/buba2/hola.html y autenticarse con un usuario en el grupo users.

6)Conectarse al servlet:

http://pgarcia.etse.urv.es:8080/buba2/servlet/SecServlet



Ejercicios (OPCIONALES)

 
Referencias