Zugriffskontrolle in Web-Anwendungen mit Java SE Security

Web-Anwendungen im Unternehmensumfeld haben in der Regel komplexe Autorisierungsanforderungen. Recht schnell kommt man dabei an die Grenzen von Servlet- oder JEE-Spezifikation. Oft werden deshalb proprietäre Lösungen eingesetzt.

In dieser Präsentation wird gezeigt, wie auf Basis von Java Standards eine voll funktionsfähige und flexible Autorisierungskomponente für Web-Anwendungen erstellt werden kann. Dazu wird als zentraler Bestandteil von Java SE Security der Java Authentication and Authorization Service (JAAS) verwendet. JAAS bietet eine Sicherheits-Infrastruktur und einen Satz von Standard-APIs für Java Anwendungen an. Nach einer kurzen Einführung in Java SE Security und JAAS wird demonstriert, wie bekannte Security-Konzepte und -Patterns angewendet werden können, um die Grundfunktionalität von Java SE Security zu erweitern. Es wird unter anderem dargestellt, wie hierarchische rollenbasierte und instanzbasierte Zugriffskontrolle realisiert wird. Anhand eines fiktiven aber praxisnahen Beispiels wird gezeigt, wie die entwickelte Autorisierungskomponente in einer Web-Anwendung eingesetzt werden kann.