springio2012 taller seguridad web springsecurity 3

Seguridad en Aplicaciones Web con Spring Security 3 [Taller]

Fernando Redondo Ramírez

@pronoide_fer

Índice

• ¿Quién soy?

• Breve Introducción a Spring Security 3

• ¡Manos a la obra!

• Más allá del taller

• Enlaces

• Preguntas

¿Quién soy?

• Emprendedor y empresario en Pronoidedesde 2003

• Formador Java & Friends

• Haciendo cosas con Java desde 1999

• Ingeniero técnico informático

• Casado y padre de dos hijos (la segunda hija podría estar naciendo ahora… ¡uff!)

Breve Introducción a Spring Security 3

• ¿La seguridad JEE no es estándar? Sí, pero:

1. Seguridad JEE ⇒ Basada en restricciones (Constraints)

2. Seguridad JEE ⇒ Exclusivamente perimetral

3. Seguridad JEE ⇒ Funcionalidades dependientes de cada Servidor de Aplicaciones (Realms, SSO, Cifrado, etc.)

4. Seguridad JEE ⇒ Aplicaciones JEE no transportables entre plataformas o versiones del mismo servidor

5. Seguridad JEE ⇒ Difícil de adaptar a para aplicaciones Web 2.0 y/o nuevos requerimientos


• ¿La seguridad JEE no es estándar? Sí, pero:

1. Spring Security ⇒ Basada en otorgar permisos

2. Spring Security ⇒ Perimetral y jerárquica

3. Spring Security ⇒ Funcionalidades independientes del Servidor de Aplicaciones

4. Spring Security ⇒ Aplicaciones JEE transportables

5. Spring Security ⇒ Versátil y adaptable


Arquitectura (¡y se acabó!)

Seguridad Aplicaciones Spring Security 3

SecurityContextHolderSecurityContextAuthentication

GrantedAuthority

Peticiones Web

Web/HTTP Security

Cadena de filtros de seguridad

Autentificación

AuthenticationManager

AuthenticationProviders

UserDetailsService

Autorización

AccessDecisionManager

Voters

AfterInvocationManager

Métodos Negocio

Business Object (Method) Security

Proxies/Interceptores de seguridad

¡Manos a la obra!

Notas

1. Descargar http://pronoide.com/descargas/fbi.war2. Importar war en STS 2.83. Ejecutar la aplicación4. Entrar en http://localhost:8080/fbi/index.jsp

¡¡Necesito seguridad

en la aplicación de

los Expedientes X!!

Etapa: Configurar Spring Security en la aplicación web

i. Configurar el filtro interceptor de las peticiones web


ii. Crear el fichero para la configuración de seguridad

con una seguridad mínima y cargarlo en el web.xml


iii. Configurar el login/logout explícitamente

iv. Solucionar problemas de recursos, CSS e imágenes


v. Proteger contraseñas de los usuarios encriptándolas

• Generar claves con Spring Basic Crypto Module

• Poner las claves cifradas y configurar el algoritmo y el salt


vi. Añadir funcionalidad “Remember Me”


vii. Seguridad en el canal de transporte (HTTPS)

• Configurar restricciones y puertos

• Crear conector SSL en Servidor


viii. Control de la expiración de sesiones

ix. Control de la concurrencia de sesiones


x. Uso de la librería de etiquetas (Spring Security Taglibs)


xi. Uso Expresiones SpEL para proteger URL’s

xii. Uso Expresiones SpEL con etiquetas Security Taglib

¡Pero que has hecho!

¿¿Sólo hay seguridad

en el acceso a los

recursos web??

Prueba y verás:

/clasificar?id=1

Prueba y verás:

https://localhost:8443/fbi/expedientesx

/clasificar?id=1

Etapa: Configurar Spring Security en Servicios de Negocio

xiii. Seguridad en la invocación de métodos de negocio

con anotaciones Spring Security


xiv. Seguridad en la invocación de métodos de negocio

con anotaciones JSR-250


xv. Seguridad en la invocación de métodos de negocio

con Pointcuts de AspectJ


xvi. Seguridad en la invocación de métodos de negocio

con Expresiones SpEL (Preinvocación)

Mucho mejor pero…

¿¿Qué haces consultando

expedientes que no son tuyos??

¿¿Cómo es que puedes ver el de

tu hermana??

¿¿… y a estas horas??

Etapa: Configurar Spring Security de forma jerárquica

xvii.Seguridad en la invocación de métodos de negocio

con Expresiones SpEL (Postinvocación)


xviii.Seguridad en la invocación de métodos de negocio

con Expresiones SpEL (Filtro de resultados)


xix. Utilización del sistema de votantes

• Codificar un votante


xix. Utilización del sistema de votantes (cont.)

• Explicitar la configuración del espacio de nombres Security

• Personalizar la configuración del accessDecisionManager


xx. Personalizar la cadena de filtros de seguridad

• Crear un filtro para recordar el usuario que hace login


xx. Personalizar la cadena de filtros de seguridad (cont.)

• Crear un filtro para evitar el uso del botón “volver” tras

hacer logout

The Smoking Man

Todo esto de Spring Security

esta muy bien, pero siempre

me quedará el ataque Java2

<%System.exit(0);%>

Más allá del taller. A partir de aquí…

• Configuraciones explícitas no implícitas

• Gestión de ACL’s

• Autentificación vía DataSources, LDAP, X509, OPENID, JEE, etc

• Captcha

• Single Sign On

• Secure Remoting

• “... en la mayoría de mi trabajo, las leyes de la física rara vez se aplican.” Mulder 1x01 "Pilot"

¿preguntas?

The Truth is Out There

(La Verdad está ahí afuera)

Referencias

• Spring Security 3.1 Referencehttp://bit.ly/uQFyUY

• JSR-250 Annotationshttp://en.wikipedia.org/wiki/JSR_250

• Spring SpELhttp://bit.ly/xIuueQ

• Spring Security Common Built-In Expressionshttp://bit.ly/worFP0

• Spring Security Adding Custom filtershttp://bit.ly/z2vQWQ

• Constantes Spring Securityhttp://bit.ly/yszYqm

• Clasificación de la información por paíseshttp://bit.ly/zLCoNT

¡Gracias!

• @pronoide_fer

• [email protected]

• http://pronoide.com

• http://blog.pronoide.es

springio2012 taller seguridad web springsecurity 3

Documents

es estndar

breve introduccin

la obra

http

pero

pronoide

https

etapa