PDF de programación - Dinámica - Sistema de Seguridad

Imágen de pdf Dinámica - Sistema de Seguridad

Dinámica - Sistema de Seguridadgráfica de visualizaciones

Actualizado el 21 de Marzo del 2018 (Publicado el 22 de Noviembre del 2017)
1.296 visualizaciones desde el 22 de Noviembre del 2017
1,1 MB
31 paginas
Creado hace 3a (24/04/2017)
Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.

Producido por:

Martín Córdova y Asociados C.A.
www.martincordova.com - martin.cordova@gmail.com
RIF J-31134803-4 - Caracas/Venezuela

Biblioteca Técnica
Dinámica - Sistema de Seguridad
Última actualización: 2017-03-31
Requiere framework v3.x en adelante







Contenido

Sumario ............................................................................................................................ 2
Modelo general de la capa de seguridad ................................................................................ 3
Recursos para descargar ..................................................................................................... 3
Como crear una aplicación segura ........................................................................................ 4
Pasos para instalar el ambiente de seguridad ......................................................................... 4
Crear los objetos de base de datos .................................................................................... 4
Definiendo la configuración de seguridad con la consola Admin .............................................. 5
Definiendo la seguridad en la aplicación en web.xml .......................................................... 12
Las acciones de seguridad .............................................................................................. 14
Tablas del modelo de seguridad ......................................................................................... 15
Modelo de base de datos ................................................................................................... 16
Aspectos configurables de seguridad ................................................................................... 17
Políticas de vencimiento de contraseñas ........................................................................... 17
Validación de contraseña y login ...................................................................................... 18
Configurar login fallido y envió de e-mail. ......................................................................... 19
Vencimiento de la sesión en la aplicación .......................................................................... 20
Integración de Login LDAP ................................................................................................. 21
Descifrando los errores LDAP .......................................................................................... 23
Características adicionales ................................................................................................. 24
Panel de control iconográfico ........................................................................................... 24
Sesiones activas ............................................................................................................ 24
Manejo de las trazas de auditoria ..................................................................................... 25
Limitar sesiones activas por usuario .................................................................................... 26
Limitar invocación al action home ....................................................................................... 28
Limitar ingreso por dirección IP .......................................................................................... 29
Limitar por IP invocación a servicios REST ........................................................................... 30




Dinámica – Sistema de Seguridad


Página 1 de 31




Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.

Producido por:

Martín Córdova y Asociados C.A.
www.martincordova.com - martin.cordova@gmail.com
RIF J-31134803-4 - Caracas/Venezuela

Sumario

Dinámica permite incorporar mecanismos de seguridad de forma transparente a las aplicaciones.
La lógica de negocios (clases que extienden a GenericTransaction) tienen a su disposición un API
que encapsula los métodos de seguridad expuestos normalmente por un Servlet, como
isUserInRole() o getUserPrincipal(). Se puede utilizar un mecanismo nativo del contenedor de
servlets, compatible con la especificación de seguridad J2EE para servlets, o se puede incorporar
un mecanismo propietario, siempre y cuando cumpla con el API estándar de seguridad de
Servlets.

Este es el caso de la Capa de Seguridad que incluye el framework Dinámica, un flexible
mecanismo de seguridad, basado en un filtro de servlets, una configuración bien normalizada y
documentada en base de datos, y una completa consola administrativa (aplicación web) que
conforman todo un sistema de seguridad, orientado a aplicaciones de negocios, compatible con el
estándar J2EE de seguridad (implementa los APIs correspondientes) y transparente a la
aplicación.

Los orígenes de la capa de seguridad se remontan al año 2004, cuando a partir de los
requerimientos y sugerencias de distintos usuarios de diversos países y experiencias, se sintetizó
un modelo de seguridad flexible para Dinámica, adaptable a cualquier tipo de aplicación de
negocios, también basado en nuestra experiencia asegurando aplicaciones Web y
Cliente/Servidor. El consenso era que el modelo básico de seguridad de Servlets basado en la
configuración del archivo web.xml no era suficiente para soportar los requerimientos de
aplicaciones de negocios, y por eso, aunque se soporta este modelo en Dinámica, se estima
necesario reemplazarlo por algo más completo y flexible, así nació la “Capa de Seguridad” o
“Security Layer” como se le conoció originalmente.

En pocas palabras, se trata de un Filtro de servlets que intercepta todos los requests, si el usuario
no ha ejecutado un login, lo redirecciona automáticamente a la página de login, de lo contrario, si
los roles del usuario le permiten acceder al Action solicitado, entonces el request es autorizado y
se lo deja pasar hasta el Controlador del framework, que orquesta todo para su ejecución. Para
que el filtro funcione, se debe haber configurado la seguridad de la aplicación en una base de
datos, y también se debe haber configurado el filtro de seguridad en el archivo web.xml de la
aplicación.

El framework provee scripts para soportar la capa de seguridad en PostgreSQL y SQLServer, pero
pueden adaptarse a cualquier base de datos. Los scripts no solo crean todos los objetos
necesarios, sino que también alimentan las tablas con la configuración necesaria para asegurar la
consola administrativa y definir el usuario Admin. Si una aplicación no tiene la configuración de su
seguridad cargada en base de datos, ni siquiera funcionará el login. La primera aplicación que
debe asegurarse es la consola administrativa, y como esta no puede asegurarse a si misma, por
eso se distribuyen scripts de inicialización.

La plantilla de aplicación básica ya viene lista para ser una aplicación segura, usando la capa de
seguridad de Dinámica, por defecto tiene la seguridad desactivada, solo es cuestión de
descomentar algunos elementos en web.xml y parametrizar correctamente el filtro de seguridad.

Dinámica – Sistema de Seguridad


Página 2 de 31




Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.

Producido por:

Martín Córdova y Asociados C.A.
www.martincordova.com - martin.cordova@gmail.com
RIF J-31134803-4 - Caracas/Venezuela


Esta plantilla incluye por defecto la página de login (index.htm) y también un conjunto de Actions
para soportar las tareas comunes de cualquier aplicación de negocios segura, sin importar su
objetivo: Login, Logout, Editar perfil del usuario, Cambio de contraseña, Cambio forzado de
contraseña, Mensajes de login inválido, etc. Todo es modificable según las necesidades del
proyecto, y en varios casos hay aspectos configurables, como la cantidad de intentos fallidos
antes de bloquear una cuenta, etc.

El API del framework interactúa con la capa de seguridad de manera transparente al
programador, y pone a su disposición información suficiente para enriquecer la lógica de negocios
con decisiones dependientes de la seguridad, bien sea por métodos en las clases
GenericTransaction y GenericOutput (heredados de AbstractModule), así como con el marker de
facto ${def:user} que imprime el Login del usuario actual, si ha iniciado sesión claro está.


Modelo general de la capa de seguridad

Servlet Engine

Peticiones

Security Filter

BD de

Seguridad

Petición autenticada y
autorizada por el filtro

El filtro lee su

configuración de

la BD dada la

parametrización
de la aplicación

(alias de
seguridad)

Controller Servlet

Admin console

Action

Una aplicación web segura
permite administrar la
seguridad de múltiples
webapps en un solo
repositorio o esquema de
la BD.



Recursos para descargar

Todo lo relativo a la capa de seguridad de Dinámica, incluyendo la consola administrativa, los
scripts SQL y otros recursos, está disponible para suscriptores de Dinámica en esta URL:

http://martincordova.com/deluxe/action/file?id=54


Dinámica – Sistema de Seguridad


Página 3 de 31




Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.

Producido por:

Martín Córdova y Asociados C.A.
www.martincordova.com - martin.cordova@gmail.com
RIF J-31134803-4 - Caracas/Venezuela

Como crear una aplicación segura

Para explicar el proceso de asegurar una aplicación, vamos a asumir que ya tiene una aplicación
web creada con Dinámica corriendo en Tomcat y que ya descomprimió el archivo security.zip.

Para dotar de seguridad las aplicaciones, se debe crear un esquema en base de datos, puede ser
el mismo donde reside
  • Links de descarga
http://lwp-l.com/pdf7641

Comentarios de: Dinámica - Sistema de Seguridad (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad