Visión rápida de la seguridad

Para comprender el flujo de trabajo básico de seguridad en el perfil Liberty, se detallan algunos términos de seguridad comunes junto con un ejemplo.

Términos clave de la seguridad

Autenticación
La autenticación confirma la identidad de un usuario. La forma de autenticación más común es el nombre de usuario y contraseña como, por ejemplo, el inicio de sesión mediante la autenticación básica o mediante formulario para aplicaciones web. Cuando se autentica un usuario, el origen de una solicitud se representa como un objeto Subject en el tiempo de ejecución.
Autorización
La autorización determina si un usuario tiene acceso a un rol determinado en el sistema. El modelo Java™ EE utiliza sujetos, roles y correlaciones de roles para determinar si se permite el acceso.
Rol
Los roles se definen en la aplicación Java EE. Algunos roles como, por ejemplo, el rol de administrador, están predefinidos por el sistema. Otros roles los define el desarrollador de aplicaciones. En Java EE, generalmente a los sujetos se les otorga o deniega el acceso a un rol en función de los roles que desempeñan en la aplicación.
Sujeto
Un sujeto es a la vez un término general y un objeto Java: javax.security.auth.Subject. Por lo general, el término sujeto activo significa las entidades activas dentro del sistema, tales como usuarios del sistema, e incluso el propio proceso del sistema.

Ejemplo de seguridad de flujo de trabajo

El siguiente ejemplo muestra cómo se aplica la seguridad cuando un usuario solicita acceso a un recurso. Por ejemplo, un usuario Bob desea acceder a un servlet myWebApp. Consulte los ejemplos de código en Cómo comenzar con la seguridad del perfil Liberty.

Para acceder al servlet myWebApp, deben cumplirse las condiciones siguientes:
  1. Bob debe poder iniciar la sesión en el sistema debido a que el servlet está protegido.
  2. Bob debe estar en el rol testing debido a que el servlet se ha restringido mediante un elemento auth-constraint en el descriptor de despliegue.
Si Bob no puede iniciar la sesión en el sistema, o Bob no está en el rol de prueba, el acceso al servlet myWebApp se deniega.

Otro usuario Alice puede iniciar la sesión en el sistema ya que Alice es un usuario válido. Pero Alice no está en el rol testing. Aparece un error HTTP 403 (Acceso denegado/No permitido) cuando Alice inicia la sesión.


Icono que indica el tipo de tema Tema de referencia

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_sec_quick_overview
Nombre de archivo:rwlp_sec_quick_overview.html