Security in Java applications

Security in Java applications

Терминология • Authentication (auth) – Идентификация пользователя • Authorization (authz) – проверка прав пользователя • Типы Auth в веб-приложении • Basic • Form • SSO (NTLMv2, OpenID, Custom)

Типовая модель данных • Пользователи • Роли • N-N между пользователями и ролями • Ресурсы / режим доступа • N-N между ролями и ресурсами

Где хранить данные для auth/authz • Своя база данных (на уровне приложения) • LDAP • Корпоративный LDAP • MS Active Directory

Способы реализации • С использованием стандарта JEE Security • Контейнер реализует механизмы auth/authz • Администратор настраивает сервер приложений для своей инфраструктуры • Своя реализацияили Spring Security • Большая гибкость в логике • Независимость от сервера приложений

Security in Java applications

Security in Java applications

Presentation Transcript

Java Security

Finding Security Vulnerabilities in Java Applications with Static Analysis USENIX Security 2005

Applications of Programming Language Theory: Java Security

Logging in Java applications

Java Security

JAVA Security

Applications in Java

Java Security

Finding Security Vulnerabilities in Java Applications with Static Analysis USENIX Security 2005

Finding Security Vulnerabilities in Java Applications with Static Analysis

Java Security

Security in Java

Java Security

Java Security

Applications in Java 1.2

Distributed Applications in Java

Java Security

Security in Java

Java Security

Java Security

Java Security

Finding Security Vulnerabilities in Java Applications with Static Analysis