Linux Day2005

Web application sicure con

Acegi Security System for Spring

Roma,
26 Novembre 2005
Copyright © 2005 Emmanuele Bello - TorLUG

Agenda

• Introduzione
• Fondamenti di sicurezza

• Autenticazione
• Autorizzazione

• Codice – Info@TV
• Conclusione

Copyright © 2005 Emmanuele Bello - TorLUG 1

Introduzione

• Il framework Spring

• Iniziare a lavorare sul vostro progetto con Acegi
Security System

• Sicurezza Enterprise: autenticazione, web-
request, service security, Domain Object Security

• Requisiti
- Programmazione Java (Standard - Enterprise), Design Patterns,
XML.


Introduzione 2

• La sicurezza è un “aspetto” fondamentale...
Privacy

Web

Object Security

Data Security


OWASP The Open Web Application Security Project
http://www.owasp.org

• Nasce per aiutare le aziende a valutare la
sicurezza delle applicazioni e dei servizi web

• La Top Ten ha lo scopo di:

- sensibilizzare i programmatori sugli errori piu' frequenti;

- delineare i perimetri di rischio all'aumentare dei servizi offerti;

- dare dei parametri immediati per “correre ai ripari”.

“Il codice della tua applicazione web è parte del tuo sistema di sicurezza!”


OWASP The Open Web Application Security Project
http://www.owasp.org

OWASP TOP TEN
A1 – Unvalidated Input
A2 – Broken Access Control
A3 – Broken Authentication and Session Management
A4 – Cross Site Scripting (XSS) Flaws
A5 – Buffer Overflows
A6 – Injection Flaws
A7 – Improper Error Handling
A8 – Insecure Storage
A9 – Denial of Service
A10 – Insecure Configuration Management


Fondamenti di Sicurezza
Alcuni termini utili per il futuro...

• Autenticazione (Authentication):
- “Controllare se il richiedente è veramente chi dice di essere”

• Autorizzazione (Authorization) o Access Control:
- “Controllare cosa il richiedente, autenticato, puo' fare
sull'applicazione o sul sistema”

• Principal (username):
- “Macchine o utenti unicamente identificati nel sistema”

• Credentials (Password):
- “Qualcosa che il Principal fornisce per provare che è veramente chi dice di essere”


Spring Framework
http://www.springframework.org

• Creato da Rod Johnson - Interface21;
versione corrente 1.2.5

• Perchè Spring?
- http://www.theserverside.com/articles/content/RodJohnsonInterview/JohnsonChapter4.pdf
- http://www.theserverside.com/resources/article.jsp?l=SpringFramework

• Progetto Open Source:
- Rendere le applicazioni J2EE facili e strutturate, grazie alla sua architettura interna;

- Fornire un buon metodo di programmazione;

- Possibilità di usare moduli in modo autonomo o aggregati.


Spring Framework

• Overview


Spring Framework

• Full-fledged Spring web application


Spring Framework

• Caratteristiche
- Il Core è disegnato per lavorare con i Java Beans;
lo fa tramite BeanFactory.

• IoC – Inversion of Control Pattern
- Ogni oggetto espone le proprie dipendenze
mediante una sorta di contratto invece che
risolverle automaticamente;
- Rende le applicazioni flessibili, robuste e
riutilizzabili. Gli oggetti sono disaccoppiati e piu'
gestibili.

• Dependency Injection
- Le dipendenze vengono “iniettate” nei
componenti della applicazione da una entità
esterna.

Entità esterna: LightWeight container. Spring,
Avalon, PicoContainer, Excalibur, HiveMind, Carbon,...


Spring Framework

• Service Locator vs. Dependency Injection

Service Locator Dependency Injection

- Devo chiedere le dipendenze al Locator. - Le dipendenze mi vengono assegnate.

- Dipendo in modo pesante dal Locator. - Non dipendo dal framework e tanto
meno dal locator.

- Accettabile se devo usare un Locator - Non intuitivo.
fatto da me, ma se devo riusare...

Tutte queste dipendenze (Setter Method, Constructor, Interface, Context) si
configurano in un file XML, chiamato solitamente applicationContext-xyz.xml.


Spring Framework

• Esempio di Dependency Injection usando la
tecnica “Setter Methods”
<bean id=”exampleBean” class=”examples.ExampleBean”>
<property name=”beanOne”><ref bean=”anotherBean”/></property>
<propetry name=”beanTwo”><ref bean=”someBean” /></propery>
<property name="integerProperty">1</property>
</bean>

<bean id=”anotherBean” class=”examples.AnotherBean” />
<bean id=”someBean” class=”examples.someBean” />

public class ExampleBean {
/* Variabili di istanza */
private AnotherBean beanOne;
private someBean beanTwo;
Plain
private int i; Old
Java
public void setBeanOne(AnotherBean beanOne) { this.beanOne = beanOne; }
public void setBeanTwo(SomeBean beanTwo ) { this.beanTwo = beanTwo; } Object
public void setIntegerProperty(int i ) { this.i = i; }
}

Acegi Security System
http://acegisecurity.sourceforge.net/

• Creato da Ben Alex; versione corrente 0.9.0;
pienamente appoggiato dagli autori di Spring

• Obiettivi del progetto:
- Fornire un layer di sicurezza per le
applicazioni “Spring oriented”.
- Puo' essere usato fuori del contesto di
Spring.
http://acegisecurity.sourceforge.net/standalone.html

• Mailing list ufficiale del progetto:
http://acegisecurity.sourceforge.net/mail-lists.html

...scrivete Acegi Security System!!!



• Fondamenti Richieste web

Security
= Interceptor

Authentication Access Decision Run-as
Manager Manager Manager



• Security Interceptor
- Pensato come una serratura, per sbloccarla dovete darle qualche cosa,
tipicamente username e password (Principal&Credentials) per accedere al
sistema.

• Authentication Manager
- E' responsabile nel determinare chi è il richiedente, ovviamente lo fa valutando
ID e PWD. Se lo avete convinto ora il sistema sa con chi ha a che fare!

• Access Decision Manager
- E il responsabile delle autorizzazioni concesse a chi risulta autenticato.
Autorizza in base alle credenziali, e ad informazioni di sicurezza (ad esempio il
Ruolo “ROLE_”).

• Run-As Manager
- Pensato per restringere maggiormente la zona sicura di accesso per un utente.
Puo' essere usato per sostituire “Authentication” e dargli +/- potere.



• Autenticazione
- Determinare in modo univoco l'identità di un utente.

- Chi si preoccupa di stabilire l'identità è:
net.sf.acegisecurity.AuthenticationManager

public interface AuthenticationManager {
public Authentication authenticate(Authentication authentication)
throws AuthenticationException;
}

Principal authenticate (...)
Authentication Authentication
Credentials

...facile no? Ma devo scrivere una mia classe? Se voglio... ma di default ci
pensa Acegi Security System, vediamo come...



• ProviderManager implements AuthenticationManager
- Delega la responsabilità di autenticarsi ai provider.

Provider
Manager

Dao Jass Password Dao Cas Remote
Authentication Authentication Authentication Authentication Authentication
Provider Provider Provider Manager Provider

<bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager">
<property name="providers">
<list>
<ref bean="daoAuthenticationProvider"/>
<ref bean="passwordDaoProvider"/>
</list>
</property>
</bean>



• Autenticazione su DataBase esempio
- Posso usare due providers, quali:

* DaoAuthenticationProvider – il DAO esegue la vera autenticazione;

* PasswordDaoAuthenticationProvider – la responsabilità è esterna
al DAO (es. Ligthweight Directory Access Protocol).

Authentication authenticate () Dao loadByUsername() Authentication
Manager Authentication Dao
Provider

<bean id="authenticationProvider”
class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">
<property name="authenticationDao">
<ref bean="authenticationDao"/>
</property>
</bean> User
Database

...magari customizzato (InfoTvAuthenticationDao.java)



• Password Encryption
- OWASP (A3): Broken authentication/session management
- Di default il DaoAuthenticationProvider assume che
la passowrd è in chiaro.

* PlainTextPasswordEncoder – (defualt) nessuna codifica;
* Md5PasswordEncoder – usa Md5 per la codifica;
* ShaPasswordEncoder – usa Secure Hash Algorithm per la codifica.

- Modifcate il DaoAuthenticationProvider, aggiungendo la proprietà...
<property name="passwordEncoder">
<bean class="net.sf.acegisecurity.providers.encoding.Md5PasswordEncoder"/>
</property>

- Possiamo dare anche un po' di “sale” alla password:
* ReflectionSaltSource – usa una proprietà dell'oggetto User;
* SystemWideSaltSource – usa la stessa proprietà per tutti gli utenti;
<property name="saltSource">
<bean class="net.sf.acegisecurity.providers.dao.salt.ReflectionSaltSource"/>
</property>



• Caching
- Potrebbe essere utile avere le informazioni di un utente
autenticato senza dovere fare continuamente query sul DB.

- Il DaoAuthenticationProvider supporta il caching, implementando
net.sf.acegisecurity.providers.dao.UserCache

public interface UserCache {
public UserDetails getUserFromCache (String username);
public void putUserInCache (UserDetails user);
public void removeUserFromCache (String username);
}

- Acegi Security System fornisce due comode implementazioni, quali:
* net.sf.acegisecurity.providers.dao.cache.NullUserCache

* net.sf.acegisecurity.providers.dao.cache.EhCacheBasedUserCache

- Cache Open Source in Java.

http://ehcache.sourceforge.net/



• Controllo degli accessi
- Dopo essersi autenticati occorre avere il permesso di
accedere alle risorse del sistema. AccessDecisionManager.
net.sf.acegisecurity.AccessDecisonManager

public interface AccessDecisionManager {
public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
throws AccessDeniedException;
public boolean supports(ConfigAttribute attribute);
public boolean supports(Class clazz);
}
- Acegi Security System fornisce tre implementazioni, quali:
* net.sf.acegisecurity.vote.AffirmativeBased – permette l'accesso se
almeno uno vota a favore;
* net.sf.acegisecurity.vote.ConsensusBased – permette l'accesso se tutti
votano a favore;

* net.sf.acegisecurity.vote.UnanimousBased – permette l'accesso se
nessuno lo nega (alcuni possono pure astenersi).

...come configurarlo lo avete imparato :-)



• Controllo degli accessi (2)
- Definito il manager servono i Voters, ovvero gli
net.sf.acegisecurity.vote.AccessDecisionVoter

public interface AccessDecisionVoter {
public static final int ACCESS_GRANTED = 1;
public static final int ACCESS_ABSTAIN = 0;
public static final int ACCESS_DENIED = -1;

public boolean supports(ConfigAttribute attribute);
public boolean supports(Class clazz);
public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config);
}

- Acegi Security System fornisce:
net.sf.acegisecurity.vote.RoleVoter

<bean id="roleVoter"class="net.sf.acegisecurity.vote.RoleVoter"/>

...sentirete la necessità di customizzare il vostro RoleVoter!



• ...ricordate la serratura?

- La sicurezza web è basata su filtri servlet.

Intercettano le richieste web e applicano un certo processo
sicuro.

Richiesta web
Servlet filters



• ...ricordate la serratura?
- I filtri servlet di Acegi Security System

* Channel-processing filter – assicura le redirect su canale protetto (HTTPS ad esempio);

* Authentication-processing filter – accetta le richieste di autenticazione e le invia
all'authenticatioon manager;

* CAS-processing filter – accetta tickets per le Central AuthenticaionService;

* HTTP Basic authorization filter – processa autenticazioni basate su HTTP base;

* Integration filter – gestisce il contenitore di oggetti authentication attraverso le request;

* Security enforcement filter – assicura che l'utente dopo essere autenticato possa
accedere alle risosrse web.

Copyright © 2005 Emmanuele Bello - TorLUG 23-b


• ...quindi... Request

Channel-Processing Filter
(opzionale)

Authentication-Processing
Filter

Integration Filter

Security Enforcement
Filter

...trovate la sequenza sulla guida!



• ...ancora qualche concetto ...
- I filtri nel descrittore di deployment (web.xml) li vediamo
dal vivo...

- SecurityEnforcementFilter
capisce se la richiesta e di autenticazione o di autorizzazione e
quindi delega ai manager.
manager

<bean id="securityEnforcementFilter"
class="net.sf.acegisecurity.intercept.web.SecurityEnforcementFilter">

<property name="securityInterceptor">
<ref bean="securityInterceptor"/>
</property>

<property name="authenticationEntryPoint">
<ref bean="authenticationEntryPoint"/>
</property>

</bean>



- FilterSecurityInterceptor

<bean id="securityInterceptor" class="net.sf.acegisecurity.
intercept.web.FilterSecurityInterceptor">

<property name="authenticationManager">
<ref bean="authenticationManager"/>
</property>

<property name="accessDecisionManager">
<ref bean="accessDecisionManager"/>
</property>

<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
A/admin/.*Z=ROLE_ADMIN
A/student/.*Z=ROLE_STUDENT,ROLE_ALUMNI
A/instruct/.*Z=ROLE_INSTRUCTOR
</value>
</property>
</bean>



- AuthenticationEntryPoint

<bean id="authenticationEntryPoint" class="net.sf.acegisecurity.
ui.webapp.AuthenticationProcessingFilterEntryPoint">

<property name="loginFormUrl">
<value>/jsp/login.jsp</value>
</property>

<property name="forceHttps"><value>true</value></property>
</bean>

Sulla pagina:

<form method="POST" action="j_acegi_security_check">

<input type="text" name="j_username"><br>
<input type="password" name="j_password"><br>
<input type="submit">

</form>



- AuthenticationProcessingFilter

<bean id="authenticationProcessingFilter"
class="net.sf.acegisecurity.ui.webapp.AuthenticationProcessingFilter">

<property name="filterProcessesUrl">
<value>/j_acegi_security_check</value>
</property>

<property name="authenticationFailureUrl">
<value>/jsp/login.jsp?failed=true</value>
</property>

<property name="defaultTargetUrl">
<value>/</value>
</property>

<property name="authenticationManager">
<ref bean="authenticationManager"/>
</property>

</bean>



- Authorization-Related Tag Libraries - authz.tld

Rendono piu' facile la scrittura di pagine JSP.

Quali sono: AuthorizeTag, AuthenticationTag, AclTag.

Nel web.xml

<taglib>
<taglib-uri>http://acegisecurity.sf.net/authz</taglib-uri>
<taglib-location>/WEB-INF/authz.tld</taglib-location>
</taglib>

Nelle JSP

<authz:authorize ifAllGranted="ROLE_SUPERVISOR">
...
JSP Page
...
</authz:authorize>



• Alcune features interessanti...
- Acegi Security System Events
Usati dalla classe AuthenticationProvider per informare il
sistema di cio' che accade;
Catturarli è semplice...

...
import org.springframework.context.ApplicationListener;
...

public MioListener implements ApplicationListener {

public void onApplicationEvent(ApplicationEvent event) {

if (event instanceof AuthenticationFailureUsernameNotFoundEvent) {
...
}
}

}

Logger, UserLocker, etc.



- Access Control List (ACL) Security
Molto interessanti per grandi applicazioni

Authentication

ACL
MethodInvocation

DomainObject

net.sf.acegisecurity.acl

Default maschera Unix-like (rwx)



- Aspect Oriented Programming (AOP)

http://aopalliance.sourceforge.net./

Method Security Interceptor

AspectJSecurityInterceptor


Links & co.
- Starting point

https://appfuse.dev.java.net/

http://oness.sourceforge.net/

- Papers
Acegi Security System reference:
http://acegisecurity.sourceforge.net/docbook/acegi.html

“Spring in Action”
Craig Walls, Ryan Breidenbach - Manning

- Forum & ML
Forum Spring:
http://forum.springframework.org/
Spring Mailing List:
https://lists.sourceforge.net/lists/listinfo/springframework-developer



• ...vediamo il codice...


Domande


Linux Day2005

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Linux Day2005

Similar to Linux Day2005 (20)

Recently uploaded

Recently uploaded (9)

Linux Day2005