Sicherheit. letzten beiden Punkte typischerweise durch Verschlüsselung realisiert. Komponentenbasierte Software Entwicklung. Prof. Dr.

Transkript

1 Sicherheit Vier Aufgaben Authentifizierung: Nutzer erkennen; klassisch über Name und Passwort Autorisierung: Nutzer darf nur bestimmte Aktionen durchführen, klassisch über Rechte Rollen System Vertraulichkeit: kein weiterer Nutzer (außer BKA, CIA,...) darf Informationen mitlesen Unverfälschtheit: Inhalte werden zwischen Senden und Empfangen nicht verändert letzten beiden Punkte typischerweise durch Verschlüsselung realisiert 257

2 Varianten zur Realisierung direkt von Hand codieren (mit DB Anbindung für uns technisch kein Problem; Übertragung aber unsicher mit HHTP) jeder Methodenaufruf beginnt mit Berechtigungsprüfung deklarativ Möglichkeit zur abgetrennten Authentifizierung Seiten (Servlets, JSPs) können als schützenswert markiert werden (im Deployment Descriptor) Zugang zu Seiten wird nur Nutzer in bestimmten Rollen gewährleistet deklarativ (Variante) Programmcode direkt mit erlaubten Rollen annotieren ([noch] nicht in JSP) 258

3 Umsetzung in JSP Deployment Descriptor Man kann Rollen definieren Man kann Seiten (Servlet, JSP, HTML) Rollen zuordnen Man kann Art der Übertragung festlegen Applikationsserver spezifisch: Auswahl eines Informationssystems zur Authentifizierung (Nutzer, Passwort, zugehörige Rollen), z. B. im Server selbst, Datenbank, Anbindung LDAP Zuordnung der Server Rollen zu den Rollen der JSP Applikation (oder Zuordnung von Nutzern zu Rollen der JSP Applikation) 259

4 Applikationsbeispiel Überblick (1/2) 1. Nutzer wählt Funktionalität 2. Nutzer muss sich authentifizieren 3. Prüfung ob Nutzer erlaubt und ob er benötigte Rechte hat 4a. falls ja, Zugang zur Funktionalität 4b. falls Nutzer unbekannt, ihn über Scheitern informieren 4c. falls Nutzer bekannt und zu wenig Rechte, ihn über fehlende Rechte informieren [oder wie 4b behandeln] Hinweis: statt freien Zugriff auf Startseite kann auch diese schon geschützt werden technische Probleme: Nutzer kann mehrere Seiten für gleiche Applikation nutzen Nutzer spielt mit Back Button 260

5 Applikationsbeispiel Überblick (2/2) Ansatz: kritische Ressource liegt in (logischen) Unterordner gesamter Ordner kann später einer Rolle zugeordnet werden erster Aufruf normal über HTTP 261

6 Architektur Ablaufplanung 262

7 Architektur Seitenumsetzung 263

8 Code im Detail (1/9) Servlet mit zugehöriger JSP public class Geheim extends HttpServlet { protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { response.setcontenttype("text/html;charset=utf-8"); PrintWriter out = response.getwriter(); request.getsession(false).setattribute("in", 0); //später RequestDispatcher view = request.getrequestdispatcher("geheiminfo.jsp"); view.forward(request, response); }... <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>premiuminformation</title> </head> <body> Geld stinkt<br><br> <a href="../index.jsp">zum Start </a> </body> 264

9 Code im Detail (2/9) Servlet in web.xml <servlet> <servlet-name>geheim</servlet-name> <servlet-class>servlets.geheim</servlet-class> </servlet> <servlet-mapping> <servlet-name>geheim</servlet-name> <url-pattern>/premium/geheim</url-pattern> </servlet-mapping> geschickter logischer Ordnerstruktur ist Architekturaufgabe 265

10 Code im Detail (3/9) Rollendefinition in web.xml Beliebig viele angebbar <security-role> <description>die, die alles dürfen</description> <role-name>boss</role-name> </security-role> Serverspezifisch (hier sun web.xml) direkte Zuordnung von Nutzern (alternativ über Datenbank, LDAP,...) <security-role-mapping> <role-name>boss</role-name> <principal-name>edna</principal-name> <principal-name>ella</principal-name> </security-role-mapping> 266

11 Code im Detail (4/9) Sicherheitsregel in web.xml <security-constraint> <display-name>premiumzugriff</display-name <web-resource-collection> <web-resource-name>premiumseiten</web-resource-name> <description/> <url-pattern>/premium/*</url-pattern> <http-method>get</http-method> <http-method>post</http-method> </web-resource-collection> <auth-constraint> <description/> <role-name>boss</role-name> </auth-constraint> <user-data-constraint> <description/> Verzeichnisse (kommasepariert) HTTP Methoden (typisch alle) erlaubte Rollen Art der Übertragung (unverfälscht, vertraulich) <transport-guarantee>confidential</transport-guarantee> </user-data-constraint> </security-constraint> 267

12 Code im Detail (5/9) Art der Authorisierung <login-config> <auth-method>form</auth-method> <realm-name>file</realm-name> <form-login-config> <form-login-page>/login.html</form-login-page> <form-error-page>/loginerror.html</form-error-page> </form-login-config> </login-config> FORM: Nutzer erstellt eigenes Login Fenster (ohne <transport guarantee> direkt sichtbar) BASIC: codiert mit base64 (nicht sehr sicher) DIGEST: besser verschlüsselt, unterstützt nicht jeder Server CLIENT CERT: Public Key Certificates (vor erstem Login benötigt, typisch für B2B) 268

13 Code im Detail (6/9) Login Seite <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title></title> <meta http-equiv="content-type" content="text/html; charset=utf-8"> </head> <body> <form name="post" action="j_security_check"> Nutzer:<input type="text" name="j_username" value="" size="15" /><br> Passwort:<input type="text" name="j_password" value="" size="15" /><br> <input type="submit" value="anmelden" /> </form> </body> muss so heißen </html> 269

14 Code im Detail (7/9) Login Fehler Seite <!-- loginerror.html --> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>fehler</title> <meta http-equiv="content-type" content="text/html; charset=utf-8"> </head> <body> Passt nicht <br><br> <a href="/authorisierung/login.html">noch'n Versuch</a> </body> </html> 270

15 Code im Detail (8/9) erweiterte Fehlerbehandlung Sonderseite für Nutzer, die sich anmelden dürfen, aber Ressource nicht nutzen dürfen <error-page> <error-code>403</error-code> <location>/fehler.jsp</location> </error-page> contenttype="text/html" pageencoding="utf-8" session="false" iserrorpage="true"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>fehler</title> </head> <body> <h3>interner Fehler</h3> <a href="/authorisierung/index.jsp">zum Start </a> <% request.getsession().invalidate();%> </body> </html> 271

16 Code im Detail (9/9) Logout.java public class Logout extends HttpServlet { protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { response.setcontenttype("text/html;charset=utf-8"); try { if (request.getsession(false)!= null) { request.getsession().removeattribute("in"); request.getsession().invalidate(); } } finally { RequestDispatcher view = request.getrequestdispatcher("loggedout.jsp"); view.forward(request, response); } } <title>logged Out</title> <body> <a href="index.jsp">zum Start </a> </body> 272

17 Code im Detail (10/10) index.jsp prefix="c" uri=" contenttype="text/html" pageencoding="utf-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>start</title> </head> <body> <form name="m" action="premium/geheim"> <input type="submit" value="premium" name="mb" /> </form> <c:if test="${in!=null}"> <form name="l" action="logout"> <input type="submit" value="ausloggen" name="wb" /> </form> </c:if> </body> </html> 273

18 Ablaufmöglichkeiten (1/6) Klick auf Premium 274

19 Ablaufmöglichkeiten (2/6) unser Anmeldefenster Umschaltung auf HTTPS 275

20 Ablaufmöglichkeiten (3/6) unbekannter Nutzer 276

21 Ablaufmöglichkeiten (4/6) unberechtigter Nutzer 277

22 Ablaufmöglichkeiten (5/6) berechtigter Nutzer 278

23 Ablaufmöglichkeiten (6/6) ausgeloggter Nutzer 279

24 Sicherer Datenverkehr Übertragungsart wählen, dann anmelden 280

25 Session Kontrolle Generell Session mit invalidate() beenden Um keine kurzzeitige Übernahme oder Rücksprünge mir Zurück Knopf zu erlauben kann Hilfs Session Attribut genutzt werden Beim erfolgreichen Einloggen Attribut setzen Bei Logout vor invalidate löschen Attribut wird im Beispiel auch zur Einblendung des Abmelden Knopfs genutzt 281

26 Projektstruktur gepackt als WAR Datei man beachte: Servlet Geheim.class nur logisch dem auch physikalisch vorhandenem Pfad /Premium zugeordnet vorgegebene Struktur noch vereinfachbar, aber skaliert auch für größere Projekte 282

27 <auth constraint> Erlaubnis für bestimmte Rollen <auth-constraint> <role-name>admin</role-name> <role-name>member</role-name> </auth-constraint> Erlaubnis für alle; entweder kein Constraint angeben oder <auth-constraint> <role-name>*</role-name> </auth-constraint> Erlaubnis für niemanden von außerhalb (forward geht!) <auth-constraint/> Rechte können mehrfach in security constraints stehen <auth-constraint/>: garantiert kein Zugriff sonst oder Verknüpfung (eine Nennung reicht) 283

28 Abfrage der Rollen im Servlet generell nur in Ausnahmen nutzen (Rollen Logik aus Programmlogik heraushalten) Beispiel im Servlet String[] rollen= {"Leader","Worker","Hippie","Boss"}; for(int i=0;i<rollen.length;i++) System.out.println(rollen[i] +" : "+request.isuserinrole(rollen[i])); 284

29 Datenbankanbindung Servlets (und JSP) können einfach JPA nutzen Grundidee: Container stellt Verbindung zur DB her und übernimmt Transaktionssteuerung (container managed persistence) (bisher: em.begin() und em.commit(); Nutzer alleine für Transaktionen verantwortlich, user managed persistence) im private EntityManagerFactory private UserTransaction utx; Container nutzt Dependency Injection zur Laufzeit wird ein zur angegebenen Schnittstelle passendes Objekt an Programm übergeben verwandt: Exemplarvariablen haben als Typen Schnittstellen; konkrete Klassen werden mit set... injiziert 285

30 Ansätze schlechte Idee: EntityManager Objekt in einem scope (z. B. session) weitergeben; da Objekt nicht Thread sicher schlechte Idee: JSP nutzt direkt EntityManager Objekt; besser: Servlet rechnet Servlet legt Ergebnis in request Servlet leitet an JSP weiter JSP arbeit Ergebnis aus request ab gute Idee: Servlet reicht EntityManagerFactory an Persistenz Schicht weiter 286

31 Beispielapplikation klassisch (1/7) Verwaltung einer Liste mit Modulen (Nummer und Name) 287

32 Beispielapplikation klassisch (2/7) public class Modul implements Serializable { private static final long serialversionuid = GenerationType.AUTO) private int id; private int nr; private String name; public Modul(){} public Modul(int nr, String name) { this.nr = nr; this.name = name; } public int getid() { return id;} public void setid(int id) { this.id = id;} public String getname() { return name;} public void setname(string name) { this.name = name;} public int getnr() {return nr;} public void setnr(int nr) { this.nr = nr;}...} 288

33 Beispielapplikation klassisch (3/7) Start <%-- index.jsp --%> contenttype="text/html" pageencoding="utf-8"%> <html> <head></head> <body> <jsp:forward page="anzeige" /> </body> </html> public class Anzeige extends HttpServlet { protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { List<Modul> module = (List<Modul>) request.getsession().getattribute("module"); if (module == null) { module = new ArrayList<Modul>(); request.getsession().setattribute("module", module); } request.getrequestdispatcher("/anzeige.jsp").forward(request, response); } 289

34 Beispielapplikation klassisch (4/7) Anzeige.jsp prefix="c" uri=" contenttype="text/html" pageencoding="utf-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>module</title> </head> <body> <a href="/jspjpabeispiel2/erweiterung/eintrag.jsp"> Modul hinzufügen</a> <h3>modulübersicht</h3> <ul> <c:foreach var="m" items="${module}"> <li>${m.nr}: <c:out value="${m.name}"/> </li> </c:foreach> </ul> </body> </html> 290

35 Beispielapplikation klassisch (5/7) Eintrag.jsp contenttype="text/html" pageencoding="utf-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>neues Modul</title> </head> <body> <form name="neu" action="neuesmodul" method="post"> Modulnummer: <input type="text" name="nr" value="" size="5" /><br> Modulname: <input type="text" name="name" value="" size="20" /><br> <input type="submit" value="eintragen" /> </form> <a href="../index.jsp">zurück</a> </body> </html> 291

36 Beispielapplikation klassisch (6/7) Eintragen public class NeuesModul extends HttpServlet { protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { response.setcontenttype("text/html;charset=utf-8"); List<Modul> module = (List<Modul>) request.getsession().getattribute("module"); Modul m = new Modul( Integer.parseInt(request.getParameter("nr")), request.getparameter("name")); module.add(m); request.getrequestdispatcher("/anzeige.jsp").forward(request, response); } 292

37 Beispielapplikation klassisch (7/7) Beispielablauf 293

38 Beispielapplikation mit DB (1/6) Automat 294

39 Beispielapplikation mit DB (2/6) Start, Anzeige public class Anzeige extends HttpServlet private EntityManagerFactory emf; protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { EntityManager em = emf.createentitymanager(); request.setattribute("module", em.createquery("select m from Modul m").getresultlist()); request.getrequestdispatcher("/anzeige.jsp").forward(request, response); } List<Modul> module = (List<Modul>) request.getsession().getattribute("module"); if (module == null) { module = new ArrayList<Modul>(); request.getsession().setattribute("module", module); } 295

40 Beispielapplikation mit DB (3/6) Eintragen 1/2 public class NeuesModul extends HttpServlet private EntityManagerFactory private UserTransaction utx; protected void processrequest(httpservletrequest request, HttpServletResponse response) throws ServletException, IOException { response.setcontenttype("text/html;charset=utf-8"); try { utx.begin(); EntityManager em = emf.createentitymanager(); Modul m = new Modul( Integer.parseInt(request.getParameter("nr")), request.getparameter("name")); em.persist(m); utx.commit(); request.getrequestdispatcher("/index.jsp").forward(request, response); } // nächste Folie catch (RollbackException ex) { 296

41 Beispielapplikation mit DB (4/6) Eintragen 2/2 catch (RollbackException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (HeuristicMixedException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (HeuristicRollbackException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (SecurityException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (IllegalStateException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (NotSupportedException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } catch (SystemException ex) { Logger.getLogger("NeuesModul".log(Level.SEVERE, null, ex); } } 297

42 Beispielapplikation mit DB (5/6) Realisierung 298

43 Beispielapplikation mit DB (6/6) persistence.xml JSPJPA2 ist eine vom Nutzer im Server angemeldete Data Source, die über JNDI gefunden wird <?xml version="1.0" encoding="utf-8"?> <persistence version="1.0" xmlns=" xmlns:xsi=" xsi:schemalocation=" <persistence-unit name="jspjpabeispiel2pu" transaction-type="jta"> <provider>org.hibernate.ejb.hibernatepersistence</provider> <jta-data-source>jspjpa2</jta-data-source> <exclude-unlisted-classes>false</exclude-unlisted-classes> <properties> <property name="hibernate.hbm2ddl.auto" value="update"/> </properties> </persistence-unit> </persistence> 299