Mengamankan Aplikasi Java EE 6
Download as ODP, PDF
0 likes607 views
Dokumen tersebut membahas tentang mengamankan komponen web Java EE dengan menggunakan otentikasi dasar HTTP. Dijelaskan proses konfigurasinya melalui penambahan pengguna, peran keamanan, dan pembatasan keamanan pada deployment descriptor standar dan khusus GlassFish serta mengakses URL teramankan setelah login.
Mengamankan Aplikasi Java EE 6
- 1. Mengamankan Aplikasi Java EE 6 Bowo Prasetyo Tutorial Keamanan Java EE 6 dengan Netbeans dan GlassFish 3 Nopember 2011 http://www.scribd.com/prazjp http://www.slideshare.net/bowoprasetyo
- 2. Prasyarat Tutorial ini menggunakan software berikut: Java EE 6 SDK ( http://java.sun.com/javaee/sdk/ )
- 3. Netbeans IDE v 7.0.1 ( http://netbeans.org/ )
- 4. GlassFish Application Server v 3.1.1 ( http://glassfish.java.net/ )
- 5. Keamanan Java EE 6 Keamanan deklaratif Menggunakan deployment descriptor (file XML) atau anotasi (di kode sumber)
- 6. Default menggunakan keamanan deklaratif Keamanan programatis Ditulis di logika aplikasi
- 7. Bila keamanan deklaratif tidak mencukupi
- 8. Proses Keamanan 1 Request awal Web client me- request URL aplikasi.
- 9. Proses Keamanan 2 Otentikasi awal Web server mengembalikan form untuk mengumpulkan data otentikasi ( username dan password ). Web client mengirim data otentikasi ke web server untuk divalidasi.
- 10. Apabila data otentikasi valid, web server mengeset credential untuk pengguna.
- 11. Proses Keamanan 3 Otorisasi URL Web server berkonsultasi dengan security policy yang diasosiasikan terhadap web resource .
- 12. Web server mengecek credential pengguna terhadap setiap peran, apakah dia authorized atau not authorized .
- 13. Proses Keamanan 4 Memenuhi request pertama Bila pengguna authorized , web server mengembalikan hasil request URL yang pertama.
- 14. Di contoh ini berupa form yang selanjutnya perlu ditangani oleh enterpise bean .
- 15. Proses Keamanan 5 Memanggil metoda bisnis enterprise bean Web page memanggil metoda enterprise bean secara remote , menggunakan credential pengguna.
- 16. EJB container berkonsultasi dengan security policy yang diasosiasikan terhadap enterprise bean .
- 17. EJB container mengecek credential pengguna terhadap setiap peran, apakah dia authorized atau not authorized .
- 18. Mengamankan Server GlassFish Menambah, menghapus, atau mengubah authorized users .
- 19. Mengonfigurasi listener HTTP dan IIOP yang secure .
- 20. Mengonfigurasi konektor JMX yang secure .
- 21. Menambah, menghapus, atau mengubah security realm .
- 22. Mengeset dan mengubah policy permission aplikasi.
- 23. Mengamankan Komponen Web dan Komponen Bisnis Mengamankan komponen web Security context di web server .
- 24. Mengamankan servlets, JSP, JSF, facelets. Mengamankan komponen bisnis Security context di EJB container .
- 25. Mengamankan EJB.
- 26. Security Realm Domain security policy yang didefinisikan untuk web server atau application server , dan terdiri dari user, group, role dan pemetaan role -> user/group .
- 27. Security Realm Realm file Credential pengguna di file lokal keyfile .
- 28. Untuk koneksi non-HTTPS. Realm sertifikat Credential pengguna di database sertifikat.
- 29. Untuk koneksi HTTPS. Realm admin Credential administrator di admin-keyfile .
- 30. Mekanisme Otentikasi Otentikasi dasar HTTP Username dan password di form default Otentikasi berbasis form Form data otentikasi dapat dikustomisasi Otentikasi digest Otentikasi dasar dengan password terenkripsi Otentikasi klien Server mengotentikasi klien dengan public key Otentikasi mutualisme Server dan klien saling mengotentikasi
- 31. Aplikasi Java EE HelloEnterprise
- 32. HelloEnterprise Aplikasi Java enterprise dengan GlassFish untuk menampilkan Hello World!.
- 33. Class Diagram dan Sequence Diagram Aplikasi hanya terdiri dari 1 halaman JSP di server, yaitu index.jsp yang mem- build halaman HTML yang berisi 'Hello World!' untuk ditampilkan di client. requestAccess : Pengguna mengakses index.jsp di server.
- 34. buildHtml : server mem- build halaman HTML dan ditampilkan di client.
- 35. Membuat HelloEnterprise Jalankan Netbeans.
- 36. Pilih menu File -> New Project ...
- 37. Pilih project Java EE -> Enterprise Application , klik Next.
- 38. Isi Project Name : HelloEnterprise, biarkan lainnya bernilai default, klik Next .
- 39. Pilih server: GlassFish Server 3.x , atau klik Add... bila belum ada.
- 40. Cek Enable Context and Dependency Injection , klik Finish .
- 41. Menambah Server GlassFish Bila belum ada pilihan GlassFish Server 3.x: Setelah klik Add... , pilih server GlassFish Server 3.x , klik Next .
- 42. Tentukan lokasi server, klik Browse... pilih direktori instalasi GlassFish, mis. C:erverslassfish3 , klik Next .
- 43. Daftarkan domain lokal: hello, klik Finish .
- 45. Komponen Web index.jsp By default telah dibuatkan sebuah index.jsp di modul web HelloEnterprise-war <%@page contentType="text/html" pageEncoding="UTF-8"%> <!DOCTYPE html>
- 46. Komponen Web index.jsp <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>JSP Page</title> </head> <body> <h1>Hello World!</h1> </body> </html>
- 47. Mendeploy HelloEnterprise Di Project Explorer klik kanan project HelloEnterprise -> Deploy .
- 48. Buka konsol administrasi GlassFish di http://localhost:4848/ .
- 49. Di menu kanan buka Applications -> klik HelloEnterprise.
- 50. Di tabel Modules and Components , klik Launch .
- 51. Untuk membuka aplikasi, klik link http://localhost:8080/HelloEnterprise-war/ .
- 53. Aplikasi Java EE Mengamankan Komponen Web dengan Otentikasi Dasar HTTP
- 54. Otentikasi Dasar HTTP Di sini akan digunakan otentikasi dasar HTTP untuk mekanisme keamanan.
- 55. Pada otentikasi dasar HTTP, proses login ditangani oleh framework.
- 56. Dilakukan dengan konfigurasi deployment descriptor .
- 57. Tidak diperlukan pemrogaman apapun.
- 58. Otentikasi Dasar HTTP
- 59. Class Diagram Aplikasi terdiri atas 1 halaman JSP, yaitu index.jsp yang menampilkan Hello user! + security context dari web container .
- 60. Sequence Diagram requestAccess : pengguna mengakses index.jsp.
- 61. checkAuthentication : security context mengecek pengguna sudah login atau belum.
- 62. requestAuthenticationData : kalau belum login, security context menampilkan form login.
- 63. supplyAuthenticationData : pengguna men- submit data login ke security context .
- 64. setCredential : kalau data otentikasi valid, security context mengeset data credential pengguna di session. Kembali ke no 3 selama data otentikasi belum valid.
- 65. Sequence Diagram setCredential : kalau sudah login, security context mengeset data credential ke index.jsp .
- 66. checkAuthorization : security context mengecek pengguna punya otorisasi mengakses url atau tidak.
- 67. buildHtml : kalau pengguna punya otorisasi, security context me- redirect ke index.jsp untuk menampilkan HTML, atau
- 68. showError : kalau tidak punya otorisasi, menampilkan pesan kesalahan.
- 69. Mengamankan HelloEnterprise Membuat direktori target ( basic ) dan basic/index.jsp .
- 70. Menambah users ke server GlassFish: praz.basic .
- 71. Menentukan mekanisme otentikasi: basic .
- 72. Menambah security roles: BasicRole.
- 73. Menambah security constraints: BasicConstraint.
- 74. Memetakan Role -> Users / Groups: BasicRole -> praz.basic.
- 75. Membuat Direktori Target Jalankan Netbeans, buka modul web HelloEnterprise-war
- 76. Klik kanan Web Pages -> New -> Folder ...
- 77. Beri nama basic direktori yang akan diamankan.
- 78. Copy file index.jsp ke dalam direktori basic .
- 79. Modifikasi isinya untuk menampilkan username yang sedang login.
- 80. Menampilkan Username JSP mempunyai variabel pageContext yang menyediakan berbagai info bermanfaat.
- 81. Salah satunya adalah obyek HttpServletRequest melalui metoda getRequest .
- 82. Obyek ini menyimpan info principal (pengguna) termasuk username -nya.
- 83. Komponen Teramankan index.jsp Komponen web teramankan index.jsp di direktori basic <%@page contentType="text/html" pageEncoding="UTF-8"%> <% String username = ((HttpServletRequest)pageContext.getRequest()).getUserPrincipal().getName(); %>
- 84. Komponen Teramankan index.jsp <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Otentikasi Dasar HTTP untuk JSP</title> </head> <body> <h1>Hello <%= username %>!</h1> </body> </html>
- 85. Menambah Pengguna ke Server GlassFish Jalankan server GlassFish
- 86. Buka konsol adminstrator: http://localhost:4848/
- 87. Di pohon navigasi, buka node Configurations , lalu buka node server-config
- 88. Buka node Security -> Realms
- 89. Pilih realm mana yang akan ditambah file , atau pilih yang ini
- 90. admin-realm
- 91. Menambah Pengguna ke Server GlassFish Di halaman Edit Realm , klik tombol Manage Users
- 92. Di halaman File Users (atau Admin Users) , klik New
- 93. Isi lengkap User ID , Group List , Password dll. User ID dan Password adalah case-sensitive .
- 94. User ID : praz.basic Klik OK
- 95. Deployment Descriptor Standar Untuk menentukan mekanisme otentikasi, menambah security roles dan security constraints, dilakukan dengan memodifikasi file deployment descriptor standar, yaitu web.xml , yang berada di bawah direktori <project-dir>/web/WEB-INF/ .
- 96. Ini adalah file deployment descriptor standar untuk semua application server .
- 97. Deployment Descriptor Standar Bila file ini belum ada dapat dibuat sbb: Jalankan Netbeans
- 98. Buka modul web HelloEnterprise-war
- 99. Klik kanan di modul web
- 100. Pilih New -> Others -> Web -> Standard Deployment Descriptor
- 101. Deployment Descriptor GlassFish Untuk memetakan Role -> Users / Groups , dilakukan dengan memodifikasi file deployment descriptor GlassFish, yaitu glassfish-web.xml , yang berada di bawah direktori <project-dir>/web/WEB-INF/ .
- 102. Ini adalah file deployment descriptor khusus untuk GlassFish application server .
- 103. Deployment Descriptor GlassFish Bila file ini belum ada dapat dibuat sbb: Jalankan Netbeans
- 104. Buka modul web HelloEnterprise-war
- 105. Klik kanan di modul web
- 106. Pilih New -> Others -> GlassFish -> GlassFish Descriptor
- 107. Menentukan Mekanisme Otentikasi Jalankan Netbeans, buka modul web HelloEnterprise-war
- 108. Di Projects Explorer , buka node Web Pages -> WEB-INF
- 109. Buka file web.xml
- 110. Klik tab Security
- 111. Buka node Login Configuration
- 112. Pilih Basic
- 113. Menentukan Mekanisme Otentikasi Deployment descriptor standar komponen web: <project-dir>/web/WEB-INF/web.xml <web-app> ... <login-config> <auth-method>BASIC</auth-method> </login-config> ... </web-app>
- 114. Menambah Security Roles Jalankan Netbeans, buka modul web HelloEnterprise-war
- 115. Di Projects Explorer , buka node Web Pages -> WEB-INF
- 116. Buka file web.xml
- 117. Klik tab Security
- 118. Buka node Security Roles , klik Add..
- 119. Isi Role Name dan Description Role name tanpa spasi, mis. BasicRole Klik OK
- 120. Menambah S ecurity Roles Deployment descriptor standar komponen web: <project-dir>/web/WEB-INF/web.xml <web-app> ... <security-role> <description>Has access for HTTP basic authentication.</description> <role-name>BasicRole</role-name> </security-role> ... </web-app>
- 121. Menambah Security Constraints Jalankan Netbeans, buka modul web HelloEnterprise-war
- 122. Di Projects Explorer , buka node Web Pages -> WEB-INF
- 123. Buka file web.xml
- 124. Klik tab Security
- 125. Di folder Security Constraints klik Add Security Constraints
- 126. Isi Display Name
- 127. Menambah Security Constraints Di kolom Web Resource Collection klik Add..
- 128. Isi Resource Name , Description , dan URL Pattern(s) URL pattern: bagian berwarna biru htpp://hostname:port/root /basic/* Pilih HTTP Method(s)
- 129. Klik OK
- 130. Cek Enable Authentication Constraint
- 131. Isi Description dan Role Name(s): BasicRole
- 132. Menambah security constraints Deployment descriptor standar komponen web: <project-dir>/web/WEB-INF/web.xml <web-app> ... <security-constraint> <display-name>BasicConstraint</display-name> <web-resource-collection> <web-resource-name>basic</web-resource-name> <description>Basic directory</description> <url-pattern>/basic/*</url-pattern> </web-resource-collection>
- 133. Menambah security constraints Deployment descriptor standar komponen web: <project-dir>/web/WEB-INF/web.xml <auth-constraint> <description>Only BasicRole is allowed to access.</description> <role-name>BasicRole</role-name> </auth-constraint> </security-constraint> ... </web-app>
- 134. Memetakan Role -> Users/Groups Jalankan Netbeans, buka modul web HelloEnterprise-war
- 135. Di Projects Explorer , buka node Web Pages -> WEB-INF
- 136. Buka file glassfish-web.xml , klik tab Security
- 137. Buka node BasicRole , klik Add Principal...
- 138. Isi Principal Name : username pengguna GlassFish (mis. praz.basic )
- 139. Klik OK
- 140. Memetakan Role -> Users/Groups Deployment descriptor glassfish komponen web: <project-dir>/web/WEB-INF/glassfish-web.xml <glassfish-web-app> ... <security-role-mapping> <role-name>BasicRole</role-name> <principal-name>praz.basic</principal-name> </security-role-mapping> ... </glassfish-web-app>
- 141. Mendeploy HelloEnterprise Di Project Explorer klik kanan project HelloEnterprise -> Deploy .
- 142. Untuk membuka aplikasi, akses URL http://localhost:8080/HelloEnterprise-war/basic .
- 143. Otentikasi Dasar HTTP Isi username dan password yang telah dipetakan ke role BasicRole
- 145. Referensi The Java EE 6 Tutorial - Part VII Security (http://download.oracle.com/javaee/6/tutorial/doc/gijrp.html)