J and I and Me
2007-04-23
  JAX Spring Day - Sicherheitsarchitekturen mit Spring: Das Acegi-Framework - Mike Wiesner
Mein Kollege Mike Wiesner sprach dann über Acegi, die Spring Security Lösung. Zunächst sammelte er Anforderungen an ein Security-Framework, also zum Beispiel, dass man Authentifizierungen aus verschiedenen Quellen benötigt und Web Request absichern muss. Außerdem sollte es instanzbasierte Sicherheit geben, also besimmte Benutzer dürfen nur bestimmte Objekte sehen oder ändern.

Mike zeigte dann, wie JAAS mit LoginModules und CallbackHandlern Authentifizierung unterstützten. Die CallbackHandler gibt man dem LoginModul mit, damit dads LoginModul die Daten von Benutzer erheben kann. Sehr schön das Code-Beispiel, bei dem der CallbackHandler natürlich ein instanceOf hat. Acegi hat AuthenticationProvider für verschiedenen Technologien. Dabei übergibt man dem AuthenticationProvider die Authentifizierungs-Informationen. Das ist wesentlich einfacher und auch natürlicher: Man übergibt einfach Namen und Passwort an Acegi.

Der nächste Vergleich war bei der Absicherung von Web-Requests. Bei der Servlet-Spezifikation ist die konkrete Ausgestaltung container-abhängig und die URI-Filter sind begrenzt. Bei Acegi ist es container-unabhängig. Es gibt mächtige URI-Filter und verschiedenen Authentifizierung (z.B. HTTP-Basic).

Beim Service-Layer bietet JAAS nur die programmatische Überprüfung der Constraints oder aber man nutzt die EJB Security Constraints, was einen dann aber an EJB bindet. Acegi macht es so, wie es eigentlich sinnvollerweise sein sollte: Security ist ein Aspekt und wird mit AspectJ oder Spring AOP eingewebt.

Die Sicherheit bei einzelnen Objekt-Instanzen kann man bei JAAS nur programmieren. Das ist nicht nur aufwändig, sondern man kann es auch vergessen, was dann Sicherheitslücken hinterlässt. Und testen kann man es auch nur schwerlich. Bei Acegi kann man Access Control Lists mit AOP integrieren - und auch eigene Advices hinzufügen.

Dann gab es eine Beispiel für eine Web-Anwendung, die mit Acegi abgesichert wird. Die Anwendung ist eher einfach und soll nur zeigen, wie man sie absichert. Bei der Authentifizierung ist schon erkennbar, dass man durch die feingranularen Objekte innerhalb der Anwendung sehr flexibel ist. Man kann an jeder Stelle eine andere Option wählen oder gar eine eigene Klasse implementieren. Also kann man zum Beispiel wählen, ob man sich mit Benutzername und Passwort authentifizieren will oder mit einer anderen Option oder ob man gar eine ganz andere Möglichkeit nutzen will.

Bei der Autorisierung gibt es den AccessDecisionManager, der verschiedene Voter koordinieren. Die Voter entscheiden anhand einer bestimmten Eigenschaft (zum Beispiel die Rolle des Benutzers), ob der Zugriff OK ist oder nicht. Durch den AccessDecisionManager kann man dann mehrere Voter koordinieren, so dass dadurch mehrere Autorisierungs-Technologien koordinierbar sind.

Die Integration in die Web-Anwendung geht über Servlet-Filter. Dabei wird nur ein Servlet-Filter in der web.xml konfiguriert und der delegiert dann an verschiedene Filter, die in Spring konfiguriert werden.

Die Filter haben unterschiedliche Funktionen. So zeigen sie bei einer Exception die Authentifizierungs-Seite an oder sie verbieten den Zugriff auf die Seiten.

Für die Autorisierung kann man auf den JSP-Seiten bestimmte Dinge ausblenden. Acegi kann außerdem auch Code zu friedenstellen, der die Security-API der Servlets verwendet: Es stetll dann eine passende Authentifizierung zur Verfügung stellt.

Sicherheit ist ein Aspekt. Das bedeutet, dass der Sicherheits-Code von dem eigentlich Code getrennt sein sollte. Dadurch wird die Geschäftslogik unabhängig von Acegi, man kann Security für Test leicht abschalten usw. Acegi bietet die Wahl zwischen Spring AOP und AspectJ. Spring AOP ist einfach zu konfigurieren, geht aber nur für Spring-Beans und man kann es leicht umgehen, indem man die Objekte statt mit Spring mit new erzeugt. AspectJ hat eine umfangreichere Konfiguration, eine feinere Granularität und es ist auch ohne Spring nutzbar. Es kann nicht umgangen werden, weil die Aspekte in den Code eincompiliert werden.

Bei Instanz-basierter Security kann mit Acegi definieren, dass bestimmte Benutzer nur bestimmte Operationen dürfen. Dabei kommen Access Control Lists zum Einsatz, die für jedes Objekt, jede Operation und jeden Nutzer definieren, ob der Zugriff erlaubt ist. Sie können aus der Datenbank ausgelesen werden und können auch anhand von Regel "berechnet" werden.

Testen und Security ist auch ein interessantes Thema: Wenn ein Nutzer zu viele Rechte hat, wird er sich nicht melden, damit man das fixen kann. Acegi bietet einem an, die Business-Logik ohne Sicherheit zu testen. Umgekehrt kann man die Security testen, ohne die Business-Logik zu testen. Dadurch kann man getrenntes Testen durch Code-Trennung vornehmen.

Am Ende kam dann noch der Ausblick: Spring Security 1.1 kommt sehr bald, RC1 im Mai 2007. Es wird einen eigenen Acegi-XML-Namespace geben. Außerdem kommen hierarchische Rollen und mehr zum Thema Single Sign On.
 
Bookmark and Share
Comments: Kommentar veröffentlichen

<< Home
J for Java | I for Internet, iMac, iPod and iPad | Me for me

ARCHIVES
Juni 2005 / Juli 2005 / August 2005 / September 2005 / Oktober 2005 / November 2005 / Dezember 2005 / Januar 2006 / Februar 2006 / März 2006 / April 2006 / Mai 2006 / Juni 2006 / Juli 2006 / August 2006 / September 2006 / Oktober 2006 / November 2006 / Dezember 2006 / Januar 2007 / Februar 2007 / März 2007 / April 2007 / Mai 2007 / Juni 2007 / Juli 2007 / August 2007 / September 2007 / Oktober 2007 / November 2007 / Dezember 2007 / Januar 2008 / April 2008 / Mai 2008 / Juni 2008 / August 2008 / September 2008 / November 2008 / Januar 2009 / Februar 2009 / März 2009 / April 2009 / Mai 2009 / Juni 2009 / Juli 2009 / August 2009 / September 2009 / Oktober 2009 / November 2009 / Dezember 2009 / Januar 2010 / Februar 2010 / März 2010 / April 2010 / Mai 2010 / Juli 2010 / August 2010 / Oktober 2010 / Januar 2011 / Februar 2011 / März 2011 / April 2011 / Mai 2011 / Juni 2011 / August 2011 / September 2011 / November 2011 / Februar 2012 / April 2012 / Mai 2012 / April 2013 / Mai 2013 / Juni 2013 / Januar 2015 / Juli 2015 / Februar 2016 /

Links

Twitter
Google +
Slideshare
Prezi
XING
LinkedIn
Das Spring Buch


Feeds

Feedburner


Impressum
Betreiber und Kontakt:
Eberhard Wolff
Leobschützer Strasse 22
13125 Berlin
E-Mail-Adresse: eberhard.wolff@gmail.com

Verantwortlich für journalistisch-redaktionelle Inhalte:
Eberhard Wolff