JavaOne 2008 大会上,SpringSource 的 Ben Alex 他演讲中谈到了企业应用中的安全需求和标准以及实现这些标准的开源框架。技术会议上,他特别讨论了Servlet 安全、Java 认证和授权( JAAS )、 CAPTCHA 、单点登录( SSO )及使用 OpenID 技术的联合身份( Federated Identity)等安全标准。
Ben 的演讲从 Servlet、JAAS API 的总览以及 Servlet 3.0 规范( JSR-315 )中新添加的诸如登录 / 注销和自我注册等安全特性开始逐步深入。Ben 认为,在设计 web 应用时应当考虑到下列几个安全问题:
- 认证
- 授权
- 帐户管理
- 安全审计
由于当前的 web 开发正逐渐转移到诸如 JSF 、 Spring Web Flow 和 JBoss Seam 一类的基于组件的 web 框架上,组件、状态和 transition 的安全随之变得越来越重要。Spring Web Flow 能够提供一个 JSF 平台模型,并提供状态、流和 transition 的授权,其中,认证和授权的实现应用到了 Spring Security 。目前的 Spring Security 2 集成了基于 Java 技术的 servlet 安全和 JAAS 软件,其最新版本含有一个新的安全命名空间,并支持“ Remember me ”认证机制。
全自动区分计算机和人类的图灵测试(CAPTCHA)技术有助于缓解 DoS(denial of service--拒绝服务)和侵犯知识产权(IP infringement)的安全攻击。CAPTCHA 的实现框架有 JCaptcha 、 reCAPTCHA 等,你可以从 Google项目上找到支持reCAPTCHA 的Java 平台(MIT 注册许可)。
在SSO 领域,Spring Security 通过 Samba JCIFS 支持 Microsoft Windows LANs 的 SSO,并且也支持 JA-SIG 中心认证服务( CAS )的 SSO。目前,Sun、IBM、Microsoft、Google、Yahoo、Flickr、LiveDoor、LiveJournal、Orange 和 Blogger 等很多大公司都支持时下流行的使用 OpenID 技术的联合身份。Spring Security 则通过 OpenID4Java 框架来实现 OpenID 的支持。
Ben 还谈到了一些高级 web 安全需求,例如方法层的授权、定义方法安全元数据的 JSR-250 规格、Spring Security 方法元数据以及领域的访问控制等。JSR-250 是定义方法层上授权的相关注解的规格说明,它为方法层的授权定义了 @RunAs(someRole), @RolesAllowed(someRole), @PermitAll(), @DenyAll(), @DeclareRoles(someRole) 等注解,这些注解在方法的参数上同样适用。
Ben 的演讲还涉及到 web 服务(WS-Security)安全化,以及为远程客户端和 Web2.0 应用定义的 RFC Basic(RFC 1945)和 Digest(RFC 2617)认证的话题。web services 安全化的基础是 WSS 标准(以前叫做 WS-Security),该标准提供了 SOAP 消息的安全。 XWSS ( Metro 项目的一部分)是 WSS 的 Java 平台实现,它的 3.0 版实现了 OASIS WSS 规范 1.1 版。Ben 还谈到了在 web 应用中使用 JMS 消息时的目的地授权。 JMS 1.1 API 并没有提供消息完整性和隐私性的检测,所以大家都期待 JMS 供应商能够提供这方面的支持。 ActiveMQ 消息框架就为授权需求提供了三个方法(read、write 和admin)。之后,Ben 又讨论了Java EE 应用中使用企业服务总线(ESB)时的端点、通道授权和安全调解服务。在关于ESB安全模式的文章中,你可以了解到实现ESB 容器时可以考虑的多种设计模式。
Ben 在演讲中从简单的 web 登录表单的安全需求到使用 Spring Security 框架在 Google Web Toolkit( GWT )中实现应用的安全特性,都一一向大家作了现场演示。
查看英文原文: SpringSource’s Ben Alex Details Emerging Standards in Application Security
