Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.
Producido por:
Martín Córdova y Asociados C.A.
www.martincordova.com -
[email protected]
RIF J-31134803-4 - Caracas/Venezuela
Biblioteca Técnica
Dinámica - Sistema de Seguridad
Última actualización: 2017-03-31
Requiere framework v3.x en adelante
Contenido
Sumario ............................................................................................................................ 2
Modelo general de la capa de seguridad ................................................................................ 3
Recursos para descargar ..................................................................................................... 3
Como crear una aplicación segura ........................................................................................ 4
Pasos para instalar el ambiente de seguridad ......................................................................... 4
Crear los objetos de base de datos .................................................................................... 4
Definiendo la configuración de seguridad con la consola Admin .............................................. 5
Definiendo la seguridad en la aplicación en web.xml .......................................................... 12
Las acciones de seguridad .............................................................................................. 14
Tablas del modelo de seguridad ......................................................................................... 15
Modelo de base de datos ................................................................................................... 16
Aspectos configurables de seguridad ................................................................................... 17
Políticas de vencimiento de contraseñas ........................................................................... 17
Validación de contraseña y login ...................................................................................... 18
Configurar login fallido y envió de e-mail. ......................................................................... 19
Vencimiento de la sesión en la aplicación .......................................................................... 20
Integración de Login LDAP ................................................................................................. 21
Descifrando los errores LDAP .......................................................................................... 23
Características adicionales ................................................................................................. 24
Panel de control iconográfico ........................................................................................... 24
Sesiones activas ............................................................................................................ 24
Manejo de las trazas de auditoria ..................................................................................... 25
Limitar sesiones activas por usuario .................................................................................... 26
Limitar invocación al action home ....................................................................................... 28
Limitar ingreso por dirección IP .......................................................................................... 29
Limitar por IP invocación a servicios REST ........................................................................... 30
Dinámica – Sistema de Seguridad
Página 1 de 31
Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.
Producido por:
Martín Córdova y Asociados C.A.
www.martincordova.com -
[email protected]
RIF J-31134803-4 - Caracas/Venezuela
Sumario
Dinámica permite incorporar mecanismos de seguridad de forma transparente a las aplicaciones.
La lógica de negocios (clases que extienden a GenericTransaction) tienen a su disposición un API
que encapsula los métodos de seguridad expuestos normalmente por un Servlet, como
isUserInRole() o getUserPrincipal(). Se puede utilizar un mecanismo nativo del contenedor de
servlets, compatible con la especificación de seguridad J2EE para servlets, o se puede incorporar
un mecanismo propietario, siempre y cuando cumpla con el API estándar de seguridad de
Servlets.
Este es el caso de la Capa de Seguridad que incluye el framework Dinámica, un flexible
mecanismo de seguridad, basado en un filtro de servlets, una configuración bien normalizada y
documentada en base de datos, y una completa consola administrativa (aplicación web) que
conforman todo un sistema de seguridad, orientado a aplicaciones de negocios, compatible con el
estándar J2EE de seguridad (implementa los APIs correspondientes) y transparente a la
aplicación.
Los orígenes de la capa de seguridad se remontan al año 2004, cuando a partir de los
requerimientos y sugerencias de distintos usuarios de diversos países y experiencias, se sintetizó
un modelo de seguridad flexible para Dinámica, adaptable a cualquier tipo de aplicación de
negocios, también basado en nuestra experiencia asegurando aplicaciones Web y
Cliente/Servidor. El consenso era que el modelo básico de seguridad de Servlets basado en la
configuración del archivo web.xml no era suficiente para soportar los requerimientos de
aplicaciones de negocios, y por eso, aunque se soporta este modelo en Dinámica, se estima
necesario reemplazarlo por algo más completo y flexible, así nació la “Capa de Seguridad” o
“Security Layer” como se le conoció originalmente.
En pocas palabras, se trata de un Filtro de servlets que intercepta todos los requests, si el usuario
no ha ejecutado un login, lo redirecciona automáticamente a la página de login, de lo contrario, si
los roles del usuario le permiten acceder al Action solicitado, entonces el request es autorizado y
se lo deja pasar hasta el Controlador del framework, que orquesta todo para su ejecución. Para
que el filtro funcione, se debe haber configurado la seguridad de la aplicación en una base de
datos, y también se debe haber configurado el filtro de seguridad en el archivo web.xml de la
aplicación.
El framework provee scripts para soportar la capa de seguridad en PostgreSQL y SQLServer, pero
pueden adaptarse a cualquier base de datos. Los scripts no solo crean todos los objetos
necesarios, sino que también alimentan las tablas con la configuración necesaria para asegurar la
consola administrativa y definir el usuario Admin. Si una aplicación no tiene la configuración de su
seguridad cargada en base de datos, ni siquiera funcionará el login. La primera aplicación que
debe asegurarse es la consola administrativa, y como esta no puede asegurarse a si misma, por
eso se distribuyen scripts de inicialización.
La plantilla de aplicación básica ya viene lista para ser una aplicación segura, usando la capa de
seguridad de Dinámica, por defecto tiene la seguridad desactivada, solo es cuestión de
descomentar algunos elementos en web.xml y parametrizar correctamente el filtro de seguridad.
Dinámica – Sistema de Seguridad
Página 2 de 31
Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.
Producido por:
Martín Córdova y Asociados C.A.
www.martincordova.com -
[email protected]
RIF J-31134803-4 - Caracas/Venezuela
Esta plantilla incluye por defecto la página de login (index.htm) y también un conjunto de Actions
para soportar las tareas comunes de cualquier aplicación de negocios segura, sin importar su
objetivo: Login, Logout, Editar perfil del usuario, Cambio de contraseña, Cambio forzado de
contraseña, Mensajes de login inválido, etc. Todo es modificable según las necesidades del
proyecto, y en varios casos hay aspectos configurables, como la cantidad de intentos fallidos
antes de bloquear una cuenta, etc.
El API del framework interactúa con la capa de seguridad de manera transparente al
programador, y pone a su disposición información suficiente para enriquecer la lógica de negocios
con decisiones dependientes de la seguridad, bien sea por métodos en las clases
GenericTransaction y GenericOutput (heredados de AbstractModule), así como con el marker de
facto ${def:user} que imprime el Login del usuario actual, si ha iniciado sesión claro está.
Modelo general de la capa de seguridad
Servlet Engine
Peticiones
Security Filter
BD de
Seguridad
Petición autenticada y
autorizada por el filtro
El filtro lee su
configuración de
la BD dada la
parametrización
de la aplicación
(alias de
seguridad)
Controller Servlet
Admin console
Action
Una aplicación web segura
permite administrar la
seguridad de múltiples
webapps en un solo
repositorio o esquema de
la BD.
Recursos para descargar
Todo lo relativo a la capa de seguridad de Dinámica, incluyendo la consola administrativa, los
scripts SQL y otros recursos, está disponible para suscriptores de Dinámica en esta URL:
http://martincordova.com/deluxe/action/file?id=54
Dinámica – Sistema de Seguridad
Página 3 de 31
Dinámica
Framework para desarrollo fácil
de aplicaciones web con JavaTM y Ajax.
En producción desde el año 2004.
Producido por:
Martín Córdova y Asociados C.A.
www.martincordova.com -
[email protected]
RIF J-31134803-4 - Caracas/Venezuela
Como crear una aplicación segura
Para explicar el proceso de asegurar una aplicación, vamos a asumir que ya tiene una aplicación
web creada con Dinámica corriendo en Tomcat y que ya descomprimió el archivo security.zip.
Para dotar de seguridad las aplicaciones, se debe crear un esquema en base de datos, puede ser
el mismo donde reside
Crear cuenta
Comentarios de: Dinámica - Sistema de Seguridad (0)
No hay comentarios