Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
sécurité d'accès à une application multi-tiers Java EE
bonjour,
je suis débutante en domaine de dev JEE.
je suis en train de faire le développement d'un framework de gestion de sécurité d'accès des utilisateurs à une application multi-tiers Java EE
j'aimerai b1 trouver sur ce forum quelqu'un qui a une connaissance dans ce domaine pour me mettre sur le bon chemin(tutorials à consulter, sites, outils,...)
merci d'avance.
Salut,
Il y'a plusieurs façons sécuriser l'acces à ton application; on peut en trouver deux types:
1- la sécurité peut etre geré par le serveur web (Container managed security): la définition des utilisateurs se fait soit dans un fichier de configuration soit en base de données
2- mise en oeuvre d'un outil dédié, JAAS; JGuard ...
Articles: Richfaces - JBosstools pour JSF.
Regardes ACEGI avec le framework Spring.
C'est très complet et relativement facile à mettre en oeuvre.
J'ai fait un tuto sur http://ego.developpez.com
bonjour,
il existe différent critères de sélection des libraries de sécurité.
un des critères est le modèle de sécurtié utilisé.
en gros, il est important de savoir comment gère la librarie choisie les ressources de ton application.
il existe plusieurs modèles de sécurité.
voici un lien décrivant ceux-ci te permettant d'y voir plus clair:
http://jguard.xwiki.com/xwiki/bin/view/Doc/RBAC
jguard utilise le modèle le plus souple, et acegi utilise il me semble le modèle DAC/ via les ACL.
à voir aussi si acegi gère comme jguard, plusieurs applications web dans un même modèle.
@+,
Charles.
jguard team.
ACEGI est relativement ouvert y compris à d'autres systèmes comme JAAS ou SiteMinder.
ACEGI est plutôt de type RBAC ( = Role Based) mais on peut être encore plus fin.
Un truc intéressant avec ACEGI est le RunAs qui permet de changer d'identité. C'est utile quand un client appèle un système 1 qui lui-même appèle un autre système 2. L'appel Système 1 - Système 2 peut être réalisé avec une identité différente de celle utilisé par le client.
Le stockage d'informations dans des bases de données permet de plus le partage de certaines données de configuration.
salut Ego,
concernant ACEGI, cela est assez flou quand on regarde la documentation.
depuis le début, il utilise les ACL(modèle de sécurité vraiment différent de RBAC), mais font référence depuis peu aux rôles en gardant celle des ACLs.
concernant le run-as, c'est une fonctionnalité intéressante(quoique très avancée), déjà fournie par les serveurs d'applications. jGuard peut le réaliser via JAAS qui le supporte déjà, via une façon un peu plus complexe.
je note par contre ce besoin de faire du run-as dans jguard de facon simple.
concernant le partage des informations, il est évident que plusieurs applciations peuvent appeler la même base.
par contre, le fait qu'un même utilisateur ait accès à plusieurs applications....
pour résumer, ACEGI est une alternative qui propose pas mal de bonnes choses.
une différence principale évoquée dans la FAQ d'acegi à la question "Why doesn't Acegi Security use JAAS?"(http://www.acegisecurity.org/faq.html) est sa non utilisation de JAAS dans son code; ils ont réinventé la roue en recréant des classes ayant le même objectif.
par contre, ils s'interfacent via des adapters à JAAS, car JAAS est supporté par Java et propose des classes très utiles ...
:-)
concernant leur intégration avec les serveur d'applications et JAAS, ils ont fait de nombreux adapteurs spécifiques à chaque serveur d'appli.....un peu dommage.
par contre, comme évoqué précédemmment, ils fournissent des fonctionnaltiés similaires à jGuard , avec des fonctionnalités uniques pour chaque librairie (par exemple, jguard ne founrit pas encore l'authentification DIGEST).
bref, à voir si on veut reposer sur les standards ou pas.
@+,
Charles.
jGuard team.
Perso, je ne connais pas jGuard donc....
Le truc que j'aime bien avec ACEGI est son intégration à Spring et la proposition d'une taglib qui permet de boucler la boucle. Maintenant, n'étant pas un expert en sécurité, je ne pourrai pas défendre ACEGI face à jGuard sur des points très techniques.
salut Ego,
si tu souhaites découvrir jguard, et en faire profiter les lecteurs de ce forum, ou via un article, je serais très heureux de répondre à tes questions.
pour information, jGuard et ACEGI fournissent à peu près les même tags pour protéger des bouts de page.
par contre, jGuard fournit quelques fonctionnalités uniques très utiles comme le support des permissions contextuelles , l'activation/désactivation des rôles à la volée, la définition dynamique des rôles etc....
amicalement,
Charles.
merci à toi !
serais-tu intéressé par la rédaction d'un article sur jGuard?
amicalement,
Charles.
Dans l'absolu oui mais sincèrement je n'ai pas de temps pour le moment
diabolo512,
Rien ne t'empeche de proposer un article sur le sujet.
Nous serions ravi de l'héberger.
Tu pourrais disposer de ton propre espace web.
C'est à toi de voir.
Voilà.
une petite question:
quels sont les formats des articles acceptés sur developpez?
docbook?
cordialement,
Charles.
intégrer acegi à spring
bonjour
j'ai lu la doc concernant acegi security
j'ai essayé d'intégrer acegi à spring mais j'ai pas réussi
svp est ce vous pouvez me dire quelles sont les étapes à suivre(svp bien détaillées) pour faire tourner un exemple avec le framework acegi sachant que je travaille sue eclipse.
svp j'ai besoin d'aide
merci d'avance.
regardes peut être ici http://ego.developpez.com
C'est en anglais mais c'est bien détaillé
How to get started with the Acegi framework
http://blog.xebia.com/2007/03/04/how...egi-framework/
How to implement your own Security provider with the Acegi framework.
http://blog.xebia.com/2007/03/04/how...egi-framework/
Benoit Moussaud - XebiaLabs - Automatisation des déploiements. Screencast & Demo
Bonjour a tous,
J'ai quasiment le meme projet a developper (creation d'un framework d'authentification et d'identification j2EE) et je debute également dans la sécurité applicative.
J'aurai souhaité avoir des avis complementaires sur acegi, jaas... Lequel est le plus facile à integrer ? L'objectif est pour moi de creer ce framework pour l'integrer le plus facilement possible a mes futures applications?
Sinon, y'a t il d'autres pistes a exploiter mis a part Acegi et Jaas ?
Je vous en remercie d'avance,
Cordialement,
salut
je voulais faire tourner l'exemple d'acegi mais j pas réussi
J'ai un serveur apache tomcat 5.5.23 Une fois le serveur installé, j'ai le
repertoire suivant :
C:\Program Files\Apache Software Foundation\Tomcat 5.5\webapps
dans ce repertoire, j'ai crée un dossier "essai".
j'ai téléchargé "acegi-security-1.0.3"
j'ai Dézippé le fichier téléchargé, dedans, j'ai un dossier
"acegi_security_sample_tutorial".
j'ai Copié le contenu de ce dossier dans le dossier "essai".
j'ai lancé mon serveur, j'ai essayé l'url suivante:
http://localhost:8080/essai/
mais il me sort un message d'erreur suivant:
Etat HTTP 404 - /essai/
--------------------------------------------------------------------------------
type Rapport d'état
message /essai/
description La ressource demandée (/essai/) n'est pas disponible.
--------------------------------------------------------------------------------
Apache Tomcat/5.5.20
qq un peut m'aider svp.
acegi + mysql
salut,
le premier exemple d'acegi a marché
mnt je veux stocker les données des utilisateurs dans une base de données(j'utilise mysql) (authentification + authorisation)
mais je trouve plein de problèmes concernant la manière de faire la configuration .
est ce qcq peut m'aider svp?
le fichier de conf qu'est ce qu'il contient et le fichier web.xml?
j'ai besoin d'aide svp
merci
regardes ici
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager