Discussion :

[zerzy1982]

bonjour,
je suis débutante en domaine de dev JEE.

je suis en train de faire le développement d'un framework de gestion de sécurité d'accès des utilisateurs à une application multi-tiers Java EE
j'aimerai b1 trouver sur ce forum quelqu'un qui a une connaissance dans ce domaine pour me mettre sur le bon chemin(tutorials à consulter, sites, outils,...)
merci d'avance.

[Sniper37]

Salut,

Il y'a plusieurs façons sécuriser l'acces à ton application; on peut en trouver deux types:
1- la sécurité peut etre geré par le serveur web (Container managed security): la définition des utilisateurs se fait soit dans un fichier de configuration soit en base de données

2- mise en oeuvre d'un outil dédié, JAAS; JGuard ...

[ego]

Regardes ACEGI avec le framework Spring.
C'est très complet et relativement facile à mettre en oeuvre.
J'ai fait un tuto sur http://ego.developpez.com

[diabolo512]

bonjour,
il existe différent critères de sélection des libraries de sécurité.
un des critères est le modèle de sécurtié utilisé.
en gros, il est important de savoir comment gère la librarie choisie les ressources de ton application.
il existe plusieurs modèles de sécurité.
voici un lien décrivant ceux-ci te permettant d'y voir plus clair:
http://jguard.xwiki.com/xwiki/bin/view/Doc/RBAC

jguard utilise le modèle le plus souple, et acegi utilise il me semble le modèle DAC/ via les ACL.
à voir aussi si acegi gère comme jguard, plusieurs applications web dans un même modèle.
@+,

Charles.
jguard team.

[ego]

ACEGI est relativement ouvert y compris à d'autres systèmes comme JAAS ou SiteMinder.
ACEGI est plutôt de type RBAC ( = Role Based) mais on peut être encore plus fin.
Un truc intéressant avec ACEGI est le RunAs qui permet de changer d'identité. C'est utile quand un client appèle un système 1 qui lui-même appèle un autre système 2. L'appel Système 1 - Système 2 peut être réalisé avec une identité différente de celle utilisé par le client.
Le stockage d'informations dans des bases de données permet de plus le partage de certaines données de configuration.

[diabolo512]

salut Ego,
concernant ACEGI, cela est assez flou quand on regarde la documentation.
depuis le début, il utilise les ACL(modèle de sécurité vraiment différent de RBAC), mais font référence depuis peu aux rôles en gardant celle des ACLs.

concernant le run-as, c'est une fonctionnalité intéressante(quoique très avancée), déjà fournie par les serveurs d'applications. jGuard peut le réaliser via JAAS qui le supporte déjà, via une façon un peu plus complexe.
je note par contre ce besoin de faire du run-as dans jguard de facon simple.

concernant le partage des informations, il est évident que plusieurs applciations peuvent appeler la même base.
par contre, le fait qu'un même utilisateur ait accès à plusieurs applications....

pour résumer, ACEGI est une alternative qui propose pas mal de bonnes choses.
une différence principale évoquée dans la FAQ d'acegi à la question "Why doesn't Acegi Security use JAAS?"(http://www.acegisecurity.org/faq.html) est sa non utilisation de JAAS dans son code; ils ont réinventé la roue en recréant des classes ayant le même objectif.
par contre, ils s'interfacent via des adapters à JAAS, car JAAS est supporté par Java et propose des classes très utiles ...
:-)
concernant leur intégration avec les serveur d'applications et JAAS, ils ont fait de nombreux adapteurs spécifiques à chaque serveur d'appli.....un peu dommage.

par contre, comme évoqué précédemmment, ils fournissent des fonctionnaltiés similaires à jGuard , avec des fonctionnalités uniques pour chaque librairie (par exemple, jguard ne founrit pas encore l'authentification DIGEST).
bref, à voir si on veut reposer sur les standards ou pas.

@+,

Charles.
jGuard team.

[rc_29]

Bonjour a tous,
J'ai quasiment le meme projet a developper (creation d'un framework d'authentification et d'identification j2EE) et je debute également dans la sécurité applicative.
J'aurai souhaité avoir des avis complementaires sur acegi, jaas... Lequel est le plus facile à integrer ? L'objectif est pour moi de creer ce framework pour l'integrer le plus facilement possible a mes futures applications?
Sinon, y'a t il d'autres pistes a exploiter mis a part Acegi et Jaas ?
Je vous en remercie d'avance,
Cordialement,