Biztonság java web alkalmazásokban

Biztonság java web alkalmazásokban

Webalkalmazások fejlesztése tananyag Krizsán Zoltán1 [2012. május 9.] 1

Általános Informatikai Tanszék Miskolci Egyetem

2012. május 9.

Krizsán Zoltán [2012. május 9.] ()

2012. május 9.

1 / 34

Biztonság Java web alkalmazásban

Általános információk

Tartalom

1

Biztonság Java web alkalmazásban Általános információk servlet

Telepít® leíró alapú beállítás Annotációkkal Kód alapú biztonsági ellen®rzés

EJB


2012. május 9.

2 / 34



Bevezetés I

Authentikáció: Ki kéri az er®forrást? Authorizáció: hozzáférés szabályozás: Már tudjuk ki kéri, szabad neki? Adat integritás: Nem változott e meg az er®forrás (átvitel során)?


2012. május 9.

3 / 34



Authentikáció I

1

Névvel ellátott szerepek (role) vannak, amikben felhasználók.

2

* szerep = minden deniált szerepre illeszkedik.

3

A felhasználóknak legalább egy szerepben kell lenniük!

4

Jogokat a szerepekhez adjuk.

Ha nem talál illeszked® szabályt a kérésre, akkor engedélyezett!


2012. május 9.

4 / 34



Kérés kiszolgálásának menete I

1 2

A szervlet konténer egy kérést kap. Az URL minta alapján megkeresi az illeszked® szabályokat. Ha nincs engedélyezi a kérést. Ha van szabály, akkor tovább vizsgál.


2012. május 9.

5 / 34



Biztonsági ellenörzések koncepció I

Fejleszt®:

logikai

Rendszergazda: használ.

neveket használ

Tényleges

(zikai) felhasználó neveket, csoportokat

Rendszergazda/webapp üzemeltet®: összerendeli a logikai és zikai fogalmakat.


2012. május 9.

6 / 34


servlet

Tartalom

1



EJB


2012. május 9.

7 / 34


servlet

Biztonsági beállítások I

A szervlet konténer feladata a megfelel® m¶velet elvégzése. Beállítása lehetséges: Deklaratív Annotációkkal Telepít® leíróban(web.xml) (deklaratív)

Imperatív Kód alapú


2012. május 9.

8 / 34


servlet

Authentikációs mechanizmusok I

HTTP Basic Authentication HTTP Digest Authentication HTTPS Client Authentication Form Based Authentication


2012. május 9.

9 / 34


servlet

Authentikáció kiválasztása I

login-cong elem a leíróban auth-method 1 2 3 4 5

NONE BASIC DIGEST FORM CLIENT-CERT

realm-name: BASIC esetén ezt küldi a szerver. form-login-cong: FORM esetén a hiba és login form oldal oldalak (relatív útvonal).


2012. május 9.

10 / 34


servlet

HTTP Basic Authentication I

usernév/jelszó alapú Web böngész®ben beépített form jelenik meg HTTP/1.0 Nem biztonságos base64 kódolt jelszó A szerver nem hitelesített.

de kiterjeszthet® (https, vpn) A server egy realm (string) szöveget küld a kliensnek, hogy hova kell bejelentkeznie. BASIC


2012. május 9.

11 / 34


servlet

HTTP Digest Authentication I

usernév/jelszó alapú Web böngész®ben beépített form jelenik meg Biztonságosabb a jelszó hash-ét küldi a kliens a szervernek A szerver nem hitelesített.

kiterjeszthet® (https, vpn) A server egy realm (string) szöveget küld a kliensnek, hogy hova kell bejelentkeznie. DIGEST


2012. május 9.

12 / 34


servlet

Form Based Authentication I

usernév/jelszó alapú A bejelentkez® formot a web fejleszt® készíti (készítheti).

tartalmazni kell vezérl®ket j_username és j_password nevekkel. action="j_security_check" kell legyen

Telepít® leíró-ban bejelentkez® form, hiba oldal. Védett er®forrás igénylésekor a konténer átirányít ha az ügyfél nem authentikált. Nem biztonságos base64 kódolt jelszó A szerver nem hitelesített.

de kiterjeszthet® (https, vpn)

1 < form method = " POST " action =" j_security_check " > 2 < input type =" text " name =" j_username " > 3 < input type =" password " name =" j_password " > 4 Krizsán Zoltán [2012. május 9.] ()

2012. május 9.

13 / 34


servlet

Form alapú authentikáció beállítása I

1 < login - config > 2 FORM 3 < realm - name > file 4
5 / login . xhtml 6 / error . xhtml 7 8


2012. május 9.

14 / 34


servlet

Form alapú authentikáció forgatókönyve I


2012. május 9.

15 / 34


servlet

Form alapú authentikáció forgatókönyve II

Ha a kliens nincs azonosítva, akkor 1 Egy kérés érkezik egy védett er®forrásra. 2 Az er®forráshoz rendelt form-ot elküldik a kliensnek, elmenti az url-t és a paramétereket. 3 A felhasználó kitölti a usernevet és jelszót. 4 A kliens visszaküldi a paramétereket a szervernek. 5 A konténer a kapott paraméterek alapján megpróbálja a klienst azonosítani. Ha sikertelen, akkor a hiba oldalra továbbít és a http válsz kód 200-as lesz. Ha sikeres (van ilyen felhasználó), akkor megvizsgálja a szerepeket hogy vajon van e joga hozzáférni. Ha minden ok, akkor az els® lépésben eltárolt információk alapján átirányítja a kérést a megfelel® er®forrásra.


2012. május 9.

16 / 34


servlet

User/jelszó tárolása I


2012. május 9.

17 / 34


servlet

User/jelszó tárolása II

A specikáció nem rögzíti a módját. A servlet konténert implementáló alkalmazástól függ (motor). Lehet adatbázisban, saját cong le-ban, ... (pl.: tomcat: <user password="tomcat" roles="tomcat,manager,admin" username="tomcat"/>)


2012. május 9.

18 / 34


servlet

falhsználó, csoport szerepre képzése I

1 < glassfish - web - app > 2 < security - role - mapping > 3 Mascot 4 < principal - name > Duke 5 6 7 < security - role - mapping > 8 Admin 9 < group - name > Director 0 1


2012. május 9.

19 / 34


servlet

TransportGuarantee I

Transport rétegnek instrukció CONFIDENTIAL: bizalmas információ, titkosítani kell INTEGRAL: nem kényes, érintetlenül kell küldeni NONE: Nem kell foglalkozni vele.

1 <user - data - constraint > 2 < transport - guarantee > CONFIDENTIAL


2012. május 9.

20 / 34


servlet

Kényszerek megadása (Security constraints) I

security-constraint elemei web-resource-collection auth-constraint user-data-constraint Ellen®rizhetjük a HTTP metódust (http-method, http-method-omission), URL mintákat (url-pattern)


2012. május 9.

21 / 34


servlet

Példa I

1 2 < security - constraint > 3 <web - resource - collection > 4 <web - resource - name > retail 5 / acme / retail /* 6 GET 7 POST 8 9 0 CONTRACTOR 1 HOMEOWNER 2 3


2012. május 9.

22 / 34


servlet

Felhasználói csoport leképzése szerepre I

1 < servlet > 2 < servlet - name > BasicServlet 3 < servlet - class > serlets . BServlet 4 < security - role - ref > 5 Manager 6 supervisor 7 8 Használat szervletb®l:

1 res . getWriter () . println (" Manger isUserInRole ? " + req . isUserInRole ( " Manager " ));


2012. május 9.

23 / 34


servlet

Annotációk I

Az osztályra, mely implementálja az servlet-et. @ServletSecurity @HttpConstraint @HttpMethodConstraint

@DeclareRoles @RunAs


2012. május 9.

24 / 34


servlet

Példa az annotációk használatára I

1 2 3

@ServletSecurity ( @HttpConstraint ( EmptyRoleSemantic . DENY ) ) public class Example3 extends HttpServlet { }

1 2 3

@ServletSecurity ( @HttpConstraint ( rolesAllowed = " R1 " ) ) public class Example4 extends HttpServlet { }

1 2 3 4

@ServletSecurity (( httpMethodConstraints = { @HttpMethodConstraint ( value = " GET " , rolesAllowed = " R1 " ) , transportGuarantee = TransportGuarantee . CONFIDENTIAL ) }) public class Example5 extends HttpServlet { }

5 6 7


2012. május 9.

25 / 34


servlet

Példa II I

1 @WebServlet ( name = " PayrollServlet " , urlPatterns = { "/ payroll " }) 2 @ServletSecurity ( 3 @HttpConstraint ( transportGuarantee = TransportGuarantee . CONFIDENTIAL , 4 rolesAllowed = {" DEPT - ADMIN " , " DIRECTOR " }) ) 5 public class GreetingServlet extends HttpServlet


2012. május 9.

26 / 34


servlet

Kód alapú biztonság I

Deklaratív biztonság kiterjesztése HttpServletRequest interface: authenticate: a konténerben beállított mechanizmus fut le (pl. form jelenik meg). login: kapott paraméterek alapján (nincs form) logout getRemoteUser: null, ha nincs user isUserInRole getUserPrincipal: null, ha nincs user


2012. május 9.

27 / 34


EJB

Tartalom

1



EJB


2012. május 9.

28 / 34


EJB

Biztonsági beállítások lehet®ségei I

Minden esetben a metódus hívásakor a hívó kilétét ellen®rzi.

A hívó lehet Egy sima alkalmazás (console, swing). Egy webapp (servlet, jsp). Másik EJB. Deklaratív telepít® leíróból annotációból

Kód alapú


2012. május 9.

29 / 34


EJB

Biztonság beállítása telepítés leiróból


2012. május 9.

30 / 34


EJB

Beállítás annotációkkal I

@DeclareRoles: deniálja a használni kívánt szerepeket. A bean osztályra kell megadni. Ezek után használható a isCallerInRole(String roleName). Több esetén: @DeclareRoles("Administrator", "Manager", "Employee")

@RolesAllowed: el®írja a hívó kilétét Metódusra hozzáférését szabályozza. Meg lehet adni egy osztályra (ilyenkor az összes metódusára érvényes). Meg lehet adni egy vagy több metódusra. Ha az osztályra megadtuk és egy metódusra ismét megadjuk, akkor felülírja a helyi a az osztályét. a @DeclareRoles egy részhalmaza lehet csak.

@PermitAll : metódusra, vagy osztályra @DenyAll : metódusra, vagy osztályra @RunAs : más jog alatt futtatja pl.: @RunAs("Admin") Krizsán Zoltán [2012. május 9.] ()

2012. május 9.

31 / 34


EJB

Beállítás annotációkkal példa I

1 @DeclareRoles ({ " DEPT - ADMIN " , " DIRECTOR " }) 2 @Stateless public class PayrollBean implements Payroll { 3 @RolesAllowed (" DEPT - ADMIN ") 4 public void reviewEmployeeInfo ( EmplInfo info ) { 5 // oldInfo = ... read from database ; 6 } 7 @RolesAllowed (" DIRECTOR ") 8 public void updateEmployeeInfo ( EmplInfo info ) { 9 // newInfo = ... update database ; 0 } 1 } Krizsán Zoltán [2012. május 9.] ()

2012. május 9.

32 / 34


EJB

Kód alapú I

EJBContext, HttpServletRequest interface megfelel® metódusával isCallerInRole (EJBContext) getCallerPrincipal (EJBContext) isUserInRole (HttpServletRequest) getUserPrincipal (HttpServletRequest)


2012. május 9.

33 / 34


EJB

Példa: isCallerInRole használata I

1 @DeclareRoles (" payroll ") 2 @Stateless public class PayrollBean implements Payroll { 3 @Resource SessionContext ctx ; 4 public void updateEmployeeInfo ( EmplInfo info ) { 5 oldInfo = ... read from database ; 6 // @DeclareRoles or security - role - ref in xml 7 // who have the security role " payroll " 8 if ( info . salary != oldInfo . salary && 9 ! ctx . isCallerInRole (" payroll ") ) { 0 throw new SecurityException (...) ; 1 } 2 } 3 } Krizsán Zoltán [2012. május 9.] ()

2012. május 9.

34 / 34

Biztonság java web alkalmazásokban

Recommend Documents