Sécuriser l'accès aux Remote Bean?

ZouBi · 21/11/2012, 07h07

Bonjour,
Sur mon serveur glassfish, je possède des applications EJB comprenant des RemoteBean.

J'ai une application client qui fonctionne en dehors de la JVM et qui fait appel à ces EJBs. Jusqu'ici tout va bien.
Ce qui m'inquiète (sauf si je me trompe), c'est que n'importe qui récupérant les interfaces Remote de ces EJB et connaissant l'IP du serveur peut faire des appels à leurs méthodes?

Sachant que ces méthodes agissent sur la base de donnée, ça m'inquiete un peu.

J'ai lu ce très bon bouquin sur le JEE où dans son exemple, il possède aussi des Remote Beans qui agit directement sur la base de données. Mais ne mentionne en aucun cas les défaillances de sécurité.

Comment cela se passe?

fr1man · 21/11/2012, 09h58

Je ne suis pas expert en la matière mais un des intéret des ejbs est justement la partie sécurité.
Tu peux utiliser des annotations sur les méthodes de tes ejbs pour définir les roles qui auront accès à ces méthodes.
Ensuite, au niveau de ton application cliente, tu dois passer les parametres d'authentification avant l'appel de ton ejb. J'ai l'impression que la méthode dépend du serveur d'application que tu utilises.

fxrobin · 21/11/2012, 10h03

Tout à fait, voici d'ailleurs les annotations qui permettent de traiter de la problématique de sécurité :
http://sqltech.cl/doc/oas10gR31/web....ervsecr004.htm

et voici un tuto avec GlassFish :
http://www.packtpub.com/article/ejb-3-security

ZouBi · 26/11/2012, 09h02

Désolé de ma réponse tardive.
Merci pour vos réponses, ça me permet de mieux comprendre le mécanisme des EJB.

21/11/2012, 07h07	#1
ZouBi Membre chevronné Etudiant Ingénieur Inscription : octobre 2007 Messages : 477 Détails du profil Informations professionnelles : Activité : Etudiant Ingénieur Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : octobre 2007 Messages : 477 Points : 635 Points : 635	Sécuriser l'accès aux Remote Bean? Bonjour, Sur mon serveur glassfish, je possède des applications EJB comprenant des RemoteBean. J'ai une application client qui fonctionne en dehors de la JVM et qui fait appel à ces EJBs. Jusqu'ici tout va bien. Ce qui m'inquiète (sauf si je me trompe), c'est que n'importe qui récupérant les interfaces Remote de ces EJB et connaissant l'IP du serveur peut faire des appels à leurs méthodes? Sachant que ces méthodes agissent sur la base de donnée, ça m'inquiete un peu. J'ai lu ce très bon bouquin sur le JEE où dans son exemple, il possède aussi des Remote Beans qui agit directement sur la base de données. Mais ne mentionne en aucun cas les défaillances de sécurité. Comment cela se passe? __________________ Site web : www.jidul.com Tutoriels : http://jodul.developpez.com
	00

21/11/2012, 10h03	#3
fxrobin Membre Expert Formateur JAVA / XML Inscription : novembre 2007 Messages : 849 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Formateur JAVA / XML Secteur : Service public Informations forums : Inscription : novembre 2007 Messages : 849 Points : 1 277 Points : 1 277	Tout à fait, voici d'ailleurs les annotations qui permettent de traiter de la problématique de sécurité : http://sqltech.cl/doc/oas10gR31/web....ervsecr004.htm et voici un tuto avec GlassFish : http://www.packtpub.com/article/ejb-3-security __________________ Moins on code, moins il y a de bug ... et vice-versa ainsi qu'inversement ...
	10

26/11/2012, 09h02	#4
ZouBi Membre chevronné Etudiant Ingénieur Inscription : octobre 2007 Messages : 477 Détails du profil Informations professionnelles : Activité : Etudiant Ingénieur Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : octobre 2007 Messages : 477 Points : 635 Points : 635	Désolé de ma réponse tardive. Merci pour vos réponses, ça me permet de mieux comprendre le mécanisme des EJB. __________________ Site web : www.jidul.com Tutoriels : http://jodul.developpez.com
	00

21/11/2012, 09h58	#2
fr1man Modérateur Inscription : août 2006 Messages : 2 956 Détails du profil Informations forums : Inscription : août 2006 Messages : 2 956 Points : 3 132 Points : 3 132	Je ne suis pas expert en la matière mais un des intéret des ejbs est justement la partie sécurité. Tu peux utiliser des annotations sur les méthodes de tes ejbs pour définir les roles qui auront accès à ces méthodes. Ensuite, au niveau de ton application cliente, tu dois passer les parametres d'authentification avant l'appel de ton ejb. J'ai l'impression que la méthode dépend du serveur d'application que tu utilises.
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email