79. spotkanie Warszawa JUG - Google z Facebookiem w Twojej aplikacji webowej, czyli co będę pisał sam integrację: THIS IS JAVA!!!! Spring security dla bardzo NIEzaawansowanych.
Bartek Zdanowski
Prelegent: Jakub Nabrdalik
Co to da: uczestnicy w ciągu godziny nauczą się wykorzystywać spring security[1], OpenId[2] i OAuth2[3].
Poziom:
- podstawowy
Wymagana:
- podstawowa znajomość javy
Przyda się:
- blade pojęcie o IoC/DI
- blade pojęcie o HTTP
- blade pojęcie o tym co to jest gmail/blog/facebook
Agenda:
Spring Security
- do czego jest
- jak z niego korzystać
- jak poprawnie skonfigurować
- jak hashować hasła
- jak zabezpieczyć ssl'em
- jak testować aplikację z wpiętym spring security
- jak logować/wylogować się w backendzie
- jak definiować uprawnienia per zasób serwera (URI)
- jak definiować reguły dostępu per metoda w klasie backendu (@Pre)
- na czym polega Spring Expression Language (SpEL) w kontekście security
Open ID
- co to jest
- do czego służy
- jak to działa (flow)
- jak to działa z googlem
- jak dobrać się do informacji użytkownika
- jak wykorzystać Spring Security do odwalenia czarnej roboty
- czemu muszę się rejestrować i jak to zaimplementować
OAuth2
- kto to wymyślił
- co to jest
- do czego służy
- dlaczego facebook/twitter ma OAuth2
- jak to działa
- jak to zaimplementować
- jak wykorzystać Spring Social by dobrać się do danych i usług klienta
Rationale:
Wszystkie te informacje można sobie wygooglać, dokumentacja springa jest świetna, pułapek jest niewiele, ale prelegent postara się przedstawić wszystko super-czytelnie, będzie odpowiadał na pytania i w ostrzegał przed pułapkami. Dużo kodu, kilka diagramów, żadnych slajdów.
Jakub Nabrdalik [4] pracuje dla firmy TouK jako Solution Architect, co
oznacza, że w zależności od sytuacji, zakłada czapeczkę projektanta,
programisty, architekta, analityka, lidera zespołu, kierownika
projektu i tak dalej. Od 2003 roku czerpie dużo radości z zawodowego
tworzenia oprogramowania w różnych technologiach, językach i
metodykach. Od 2005 praktykuje TDD i Pair Programming. Walczy z chaosem wkradającym się po cichu do projektów informatycznych.
Dzisiaj każdy Twittuje i ma konto na Fejsie, a więc trzeba iść za duchem czasów :)
Planowany czas prezentacji to 1,5h, po których planuje się
15-30-minutową dyskusję.
W imieniu Prelegenta i Warszawa JUG zapraszam na spotkanie.
[1] http://static.springsource.org/spring-security/site/
[2] http://openid.net/
[3] http://oauth.net/
[4] http://blog.solidcraft.eu/
--
Pozdrawiam,
Bartek Zdanowski
Bloguję http://blog.bartekzdanowski.pl i twittuję http://twitter.com/bartekzdanowski
Confitura 2011 (dawniej Javarsovia) - http://confitura.pl
KO Warsjawa 2011 - http://warsjawa.pl
Piotr Zajączkowski
prezentacji na kolejny wtorek, tj. 15.02.2011 ? Dlatego, że pokrywa
się ona z inną bardzo ciekawą prezentacją z cyklu AgileWarsaw pt.
"Łączenie Agile i Software Craftsmanship". Wiem, że ta prośba jest
rychło w czas, ale dopiero gdy prelekcja pojawiła się w kalendarzu, to
zobaczyłem, że ze sobą kolidują.
Pozdrawiam :)
W dniu 4 marca 2011 15:51 użytkownik Bartek Zdanowski
<bartek.z...@gmail.com> napisał:
> --
> Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o
> nazwie „Warszawa Java User Group (Warszawa JUG)”.
> Aby zamieszczać posty w tej grupie, wyślij e-mail na adres
> warsza...@googlegroups.com.
> Aby anulować subskrypcję tej grupy, wyślij e-mail na adres
> warszawa-jug...@googlegroups.com.
> Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem
> http://groups.google.com/group/warszawa-jug?hl=pl.
>
Bartek Zdanowski
DP chyba nie bedzie,a wiem,ze sam Kuba Nabrdalik. Czy jestescie
zainteresowani przeniesieniem *wyjatkowo* spotkania na 15go?
Wojciech Erbetowski
Adam Michalik
W dniu 2011-03-05 15:17, Bartek Zdanowski pisze:
Jakub Nabrdalik
Dopiero po niewczasie zorientowałem się że Agile Warsaw ma wyjątkowo
spotkanie we wtorek.
To co, ustalamy że za tydzień we wtorek?
W dniu 05.03.2011 16:40, Adam Michalik pisze:
--
Jakub Nabrdalik
http://solidcraft.eu
Piotr Zajączkowski
są za - włącznie z prelegentem - w związku z tym jeśli nikt nie zgłosi
sprzeciwu np. do jutra, to można przełożyć termin prelekcji.
Adam Dudczak
Kuba, a o tym też bedziesz mówił http://www.springsource.org/spring-social ?
W sumie tak czy siak, fajnie by było zobaczyć wideo ;-)
pozdr. Adam
--
GeeCON, http://geecon.org
Poznań JUG, http://www.jug.poznan.pl
W dniu 5 marca 2011 17:03 użytkownik Piotr Zajączkowski
<p.m.zaja...@gmail.com> napisał:
Jakub Nabrdalik
http://solidcraft.eu
Wojciech Erbetowski
Bartek Zdanowski
Dzięki Wojtku za przypomnienie.
Spotykamy się 15go.
--
Bartek Zdanowski
Bartek Zdanowski
Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
licencji na IntelliJ Idea?
Maciej Piasecki
byłem i piszę się na losowanie.
Pozdrawiam,
Maciek
Bartek Zdanowski
Jak się Wam podobało?
Maciej Piasecki
Prowadzenie prezentacji oceniam na piątkę z małym minusem, bo czasami klasy się gubiły, ale IDEA pomagała - przydałaby się chyba prezentacja w PowerPoincie ;)
Jestem za tym, żeby Kuba częściej występował :)
@Kuba, czy możesz umieścić gdzieś przykłady z prezentacji?
Bartek Zdanowski
Jakub Nabrdalik
Dzięki wszystkim za obecność. Przepraszam za tragiczny projektor, następnym razem wezmę z firmy, albo przygotuje slajdy z tlustą czcionką.
Cały kod i diagramy postaram się wrzucić najpóźniej w sobotę na bloga.
W dniu 2011-03-16 09:14 użytkownik "Maciej Piasecki" <mpia...@gmail.com> napisał:
Mi się podobało, dowiedziałem się nowych ciekawych rzeczy - wcześniej znałem już spring-security, ale nie wiedziałem, że ma też takie zastosowania.
Prowadzenie prezentacji oceniam na piątkę z małym minusem, bo czasami klasy się gubiły, ale IDEA pomagała - przydałaby się chyba prezentacja w PowerPoincie ;)
Jestem za tym, żeby Kuba częściej występował :)
@Kuba, czy możesz umieścić gdzieś przykłady z prezentacji?
Pozdrawiam,
Maciek
2011/3/16 Bartek Zdanowski <bartek.z...@gmail.com>
>
> A jak Wasze wraże...
--Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie „Warszawa Java Use...
Piotr Ostrowski
Również byłem i piszę się na losowanie licencji.
Prezentacja była bardzo ciekawa, nie znałem do tej pory Spring Security,
więc miło było zobaczyć go w akcji. Szczególnie, że ostatnio drążyłem
trochę temat JAAS'a, mam więc jakieś porównanie. OpenID używam, także
temat integracji go ze Springiem też mnie zaciekawił. Faktycznie gdyby nie
drobne problemy z rzutnikiem, byłoby super, ale i tak było naprawdę
świetnie!
Pozdrawiam,
Piotr Ostrowski
http://yuppy.pl
Dnia 16-03-2011 o 08:18:03 Bartek Zdanowski <bartek.z...@gmail.com>
napisał(a):
Lukasz Dworski
byłem i chciałbym wziąć udział w losowaniu.
Pozdrawiam,
Dwórski Łukasz
Wiadomość napisana przez Bartek Zdanowski w dniu 2011-03-16, o godz. 08:18:
> --
Jacek Laskowski
> Nie wiem czy udało się nagrać wystąpienie. Kuba? Jacek?
Niestety, ale nagrania nie ma - sprawy rodzinne + lenistwo i
ostatecznie nie dojechałem.
Jacek
--
Jacek Laskowski
Java EE, functional languages and IBM WebSphere - http://blog.japila.pl
Warszawa JUG conference = Confitura (formerly Javarsovia) :: http://confitura.pl
Jacek Laskowski
> ostatnio drążyłem trochę temat JAAS'a, mam więc jakieś porównanie.
No i, no i? Znam JAASa teoretycznie z niewielką dawką praktyki i
byłbym rad, gdyby ktoś mi wyjaśnił rolę jaką pełni Spring Security vs
JAAS. Czy SSec to nakładka upraszczająca pracę z JAAS? Uzupełniają się
z pewnością, tylko gdzie?
I drugie pytanie, jak OAuth jest zaimplementowany w Javie? Zakładam,
że SSec jedynie umożliwia jego wykorzystanie przez wpięcie
projektu-implementacji OAuth. Co to?
Jacek Laskowski
> Dzięki wszystkim za obecność. Przepraszam za tragiczny projektor, następnym
> razem wezmę z firmy, albo przygotuje slajdy z tlustą czcionką.
Skoro się pojawiło, kontynuujmy...
Współpracuję z pewną firmą, która byłaby zainteresowana wsparciem
WJUGa (w zamian za pewne udziały aka reklamę). Układ partnerski
całkiem oczywisty i możnaby skorzystać z tego na rzecz...zakupu
projektora z prawdziwego zdarzenia. Ma ktoś pomysły na jakieś cacko
właściwe do prezentacji kodu? Coś z wejściem HDMI i duuuuużą
rozdzielczością, zdecydowanie powyżej 1k w obu kierunkach (szerokość x
wysokość).
Zamieniam się w słuch....
Jacek Laskowski
> Jestem za tym, żeby Kuba częściej występował :)
Lizus! :P
Krzysiek
Krzysztof Kozioł
Faktycznie ostrosc rzutnika nie powalala i mimo ze siedzialem w 3
rzedzie to mialem problem z czytaniem :/
Ale jak bedzie mozna sobie sciagnać prezentacjie i poczytac na
spokojnie to bedzie bomba :)
pzdr
K
> --
> Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Java User Group (Warszawa JUG)".
>
> Aby zamieszczać posty w tej grupie, wyślij e-mail na adres warsza...@googlegroups.com.
> Aby anulować subskrypcję tej grupy, wyślij e-mail na adres warszawa-jug...@googlegroups.com.
> Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/warszawa-jug?hl=pl.
>
>
--
Pzdr
K@
Jacek Laskowski
> A jak Wasze wrażenia po wczorajszym wystąpieniu Kuby? Dawno go na WJUG nie
> było - jest jeszcze w formie czy już powinien iść na emeryturę? :D
Domniemam, że było wspaniale, bo potrafi, a pewnie wiele się jeszcze
nauczył w międzyczasie pod kątem (auto)prezentacji. Co jednak
widziałbym pomiędzy "jest jeszcze w formie" a "iść na emeryturę" to
"stworzyć wiekopomne dzieło", np. Civ7 :P
Bartek Zdanowski
--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Java User Group (Warszawa JUG)".
Aby zamieszczać posty w tej grupie, wyślij e-mail na adres warsza...@googlegroups.com.
Aby anulować subskrypcję tej grupy, wyślij e-mail na adres warszawa-jug...@googlegroups.com.
Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/warszawa-jug?hl=pl.
Andrzej Hołowko
Jacek Laskowski
> byłem pierwszy raz na spotkaniu JUG
A możesz jeszcze zaspokoić moją/naszą ciekawość i napisać, co skłoniło
Cię do przyjścia? Bo nie wierzę, że jesteś *kolejną* osobą chcącą
pracować tam, gdzie Jakub i wierzysz, że tędy droga :-)
Piotr Ostrowski
dostarcza oddzielny mechanizm uwierzytelniania i autoryzacji, ale da się
skonfigurować go tak, aby "pod spodem" korzystał z JAAS'a. Jako że JAAS
działa trochę niżej, może zapewnić bezpieczeństwo już na poziomie
classloader'a. Nie jest jednak w pełni uniwersalny, bo używa implementacji
dostarczanych przez kontener. W zasadzie w aplikacji określa się tylko
reguły bezpieczeństwa, a sam moduł uwierzytelniania i autoryzacji
konfiguruje się na serwerze.
Znalazłem jakieś tam porównanie JAAS'a i SSec (jeszcze wtedy Acegi),
trochę stare, ale w pewnych sprawach dalej aktualne:
http://www.mail-archive.com/acegisecuri...@lists.sourceforge.net/msg00180.html
Pozdrawiam,
Piotr Ostrowski
http://yuppy.pl
Jakub Nabrdalik
> 2011/3/16 Piotr Ostrowski<yu...@avd.pl>:
> No i, no i? Znam JAASa teoretycznie z niewielką dawką praktyki i
> byłbym rad, gdyby ktoś mi wyjaśnił rolę jaką pełni Spring Security vs
> JAAS. Czy SSec to nakładka upraszczająca pracę z JAAS? Uzupełniają się
> z pewnością, tylko gdzie?
W dniu 16.03.2011 11:57, Piotr Ostrowski pisze:
> JAAS to przede wszystkim standard Java, którym SSec nie jest. SSec
> dostarcza oddzielny mechanizm uwierzytelniania i autoryzacji, ale da się
> skonfigurować go tak, aby "pod spodem" korzystał z JAAS'a. Jako że JAAS
> działa trochę niżej, może zapewnić bezpieczeństwo już na poziomie
> classloader'a. Nie jest jednak w pełni uniwersalny, bo używa
> implementacji dostarczanych przez kontener. W zasadzie w aplikacji
> określa się tylko reguły bezpieczeństwa, a sam moduł uwierzytelniania i
> autoryzacji konfiguruje się na serwerze.
Czyli Spring Security jest raczej alternatywą dla JAAS, tzn. Spring
Security ma się tak do JAAS jak Spring Core/Hibernate do EJB 1/2 :)
Czyli: chłopaki ze Spring Source stwierdzili że JAAS to przerośnięty
potworek i zrobili porządnie od początku prostą bibliotekę do
uwierzytelniania i autoryzacji, która nie wymaga od kontenera niczego.
"Wsparcie" dla JAAS wygląda tak:
"Key authentication features [..]
Java Authentication and Authorization Service (JAAS) LoginModule, a
standards-based method for authentication used within Java. Note this
feature is only a delegation to a JAAS Loginmodule."
http://en.wikipedia.org/wiki/Spring_Security
> I drugie pytanie, jak OAuth jest zaimplementowany w Javie? Zakładam,
> że SSec jedynie umożliwia jego wykorzystanie przez wpięcie
> projektu-implementacji OAuth. Co to?
Spring Security ma implementację dla OAuth tu:
http://static.springsource.org/spring-security/oauth/support.html
Ale ja z tego nie korzystałem, już nie pamiętam dlaczego.
Sam consumer protokołu (wersja client dla autoryzacji server-side) jest
prostszy od OpenID i jest implementowalny w pięciu linijkach PHP, lub
dwóch klasach Javy. Warto spojrzeć na tutorial facebook'a. Przykłady
wrzucę na bloga.
Obsługę API dostępu do zasobów serwisów (Twitter, Facebook) zapewnia
Spring Social: http://www.springsource.org/spring-social
Andrzej Hołowko
--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Java User Group (Warszawa JUG)".
Aby zamieszczać posty w tej grupie, wyślij e-mail na adres warsza...@googlegroups.com.
Aby anulować subskrypcję tej grupy, wyślij e-mail na adres warszawa-jug...@googlegroups.com.
Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/warszawa-jug?hl=pl.
--
Andrzej Hołowko
Piotr Ostrowski
> Czyli Spring Security jest raczej alternatywą dla JAAS, tzn. Spring
> Security ma się tak do JAAS jak Spring Core/Hibernate do EJB 1/2 :)
>
> Czyli: chłopaki ze Spring Source stwierdzili że JAAS to przerośnięty
> potworek i zrobili porządnie od początku prostą bibliotekę do
> uwierzytelniania i autoryzacji, która nie wymaga od kontenera niczego.
Niby tak, ale z drugiej strony implementując JAAS'a w przykładowym
projekcie sprawiał wrażenie dość prostego, dostarczającego tylko to co
potrzebne. Nie napotkałem również większych pułapek związanych z
konfiguracją. JAAS używany jest też w EJB3, które do Springa ma się już
nieco inaczej, niż EJB1/2. Oczywiście w projektach już używających Springa
nie ma się co długo zastanawiać, jednak w każdym innym przypadku warto
rozważyć JAAS'a jako alternatywę dla SSec.
Inną sprawą jest to, że czasami klienci wymagają implementacji
uwierzytelniania i autoryzacji za pomocą mechanizmów kontenera, wtedy SSec
wydaje się nieco nadmiarowy.
Adam Michalik
A prezentacja bardzo mi się podobała - od ponad roku mam SSec w
projekcie, ale było miło usłyszeć jak ktoś tę konfigurację ogarnął w
całości. Jak na mój gust, mogło być trochę więcej o OpenID i OAuth2,
ale i tak to, co było, dało dobry pogląd czego i jak można użyć. I
dobrze przekazane - prosto i płynnie :)
Jakub Nabrdalik
+1
Słusznie prawisz.
Jakub Nabrdalik
> Też się zgłaszam na losowanie.
Btw. ja też się zgłaszam na losowanie.
Może się w końcu zupgradeuję do wersji 10.
Adam Jurzyk
> Hej.
> Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
> licencji na IntelliJ Idea?
Ja też chcę
Adam
Piotr Zajączkowski
2. Co do prezentacji, to bardzo interesujący temat i całkiem dobre
wykonanie (pomijając już sprawę nieszczęsnego rzutnika i
prawdopodobnie nieosiągalnych niestety materiałów w postaci kodów
źródłowych - przynajmniej aplikacji pokazywanej na początku... a może
jednak można je zdobyć ?)
3. @Jacek:
> Bo nie wierzę, że jesteś *kolejną* osobą chcącą pracować tam, gdzie Jakub
Jakub Nabrdalik
> 2. Co do prezentacji, to bardzo interesujący temat i całkiem dobre
> wykonanie (pomijając już sprawę nieszczęsnego rzutnika i
> prawdopodobnie nieosiągalnych niestety materiałów w postaci kodów
> źródłowych - przynajmniej aplikacji pokazywanej na początku... a może
> jednak można je zdobyć ?)
Dajcie mi czas do soboty, wrzucę kody na bloga :)
topr
On Mar 16, 8:18 am, Bartek Zdanowski <bartek.zdanow...@gmail.com>
wrote:
> Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
> licencji na IntelliJ Idea?
>
>
>
>
> > Przypominam wszystkim, że spotykamy się jutro, o 18, na MiMUW. Sala 5440.
>
> >> Confitura 2011 (dawniej Javarsovia) -http://confitura.pl
>
> > --
> > Pozdrawiam,
> > Bartek Zdanowski
>
> > Blogujęhttp://blog.bartekzdanowski.pli twittuję
> > KO Warsjawa 2011 -http://warsjawa.pl
>
> --
> Pozdrawiam,
> Bartek Zdanowski
>
> Blogujęhttp://blog.bartekzdanowski.pli twittujęhttp://twitter.com/bartekzdanowski
Grzegorz Szczepański
Rzutnik był jedyną niedogodnością prezentacji.
pozdrawiam
Grzegorz Szczepański
Artur Gajowy
IntelliJ Idea.
Pozdrawiam,
Artur Gajowy
Jacek Kunicki
Hej.
Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
licencji na IntelliJ Idea?
Jacek Laskowski
> A to coś złego, że chce się tam pracować ? ;p
Podejrzane, bo przypomina jakiś obłęd. Chyba Wam Jakub poprzewracał w
głowach! :-) Najpierw Bartek, teraz Ty.
Vitaliy Oliynyk
gmatusik
> Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
> licencji na IntelliJ Idea?
zgłaszam się do losowania.
Pozdrawiam,
Grzegorz Matusik
Bartek Zdanowski
--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Java User Group (Warszawa JUG)".
Aby zamieszczać posty w tej grupie, wyślij e-mail na adres warsza...@googlegroups.com.
Aby anulować subskrypcję tej grupy, wyślij e-mail na adres warszawa-jug...@googlegroups.com.
Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/warszawa-jug?hl=pl.
Paweł S. Piotrowski
> Czekam do jutra rano ze zgłoszeniami, bo jakoś powoli się zapisujecie, a
> chciałbym zamknąć ten temat.
do listy :)
--
Pozdrawiam
Paweł S. Piotrowski
Boleslaw Dawidowicz
Plusem JAAS jest to że większość komercyjnych rozwiązań z dziedziny bezpieczeństwa udostępnia jakąś implementację LoginModule którą poprostu można wpiąć. Ponieważ jest to też standard oparty o koncepcję PAM (Pluggable Authentication Modules) oraz sam proces przebiega 2 etapowo (login/commit - o czym większość ludzi nawet nie wie) to można robić w prosty sposób dosyć skomplikowane rzeczy. Fajnym zastosowaniem jest np. Login Module z flagą "optional" który w metodzie "login" nie zrobi nic a w metodzie "commit" (2 faza) jeżeli wszystkie inne moduły zakończyły uwierzytelnienie sukcesem zsynchronizuje użytkownika do bazy, uaktualni mu jakieś uprawnienia bądź zrobi cokolwiek innego... proste i efektywne.
Minusem jest to że technologia i standard jest dosyć stary więc np. to co wydaje się tak debilnie prostą funkcjonalnością jak "programmatic login" było niesamowitym i długo wyczekiwanym ficzerem w Servlet 3.0:
- http://download.oracle.com/javaee/6/tutorial/doc/gjiie.html
Efekt był taki że żeby zrobić prostą rzecz trzeba było czasami sięgać po Tomcat Valve.... bo "j_security_check" w kontenerach jest zazwyczaj tak hakersko zaimplementowany że zwykł filtr serwletowy nie wystarczał a z poziomu LoginModule z kolei nie dało się dostać w prosty sposób do requesta. Ponadto uprawnienia jakie można zmapować przy użyciu Principal/Subject oraz reguły zabezpieczeń w web.xml są dosyć ubogie. W efekcie nastąpił wysyp takich rozwiązań jak Spring Security, Seam ma własną warstwę odpowiedzialną za security a standard jak zwykle nadrabia z opóźnieniem...
Bolek
Jacek Laskowski
> Plusem JAAS jest to że większość komercyjnych rozwiązań z dziedziny bezpieczeństwa udostępnia jakąś implementację LoginModule którą poprostu można wpiąć. Ponieważ jest to też standard oparty o koncepcję PAM (Pluggable Authentication Modules) oraz sam proces przebiega 2 etapowo (login/commit - o czym większość ludzi nawet nie wie) to można robić w prosty sposób dosyć skomplikowane rzeczy. Fajnym zastosowaniem jest np. Login Module z flagą "optional" który w metodzie "login" nie zrobi nic a w metodzie "commit" (2 faza) jeżeli wszystkie inne moduły zakończyły uwierzytelnienie sukcesem zsynchronizuje użytkownika do bazy, uaktualni mu jakieś uprawnienia bądź zrobi cokolwiek innego... proste i efektywne.
>
> Minusem jest to że technologia i standard jest dosyć stary więc np. to co wydaje się tak debilnie prostą funkcjonalnością jak "programmatic login" było niesamowitym i długo wyczekiwanym ficzerem w Servlet 3.0:
>
> - http://download.oracle.com/javaee/6/tutorial/doc/gjiie.html
>
> Efekt był taki że żeby zrobić prostą rzecz trzeba było czasami sięgać po Tomcat Valve.... bo "j_security_check" w kontenerach jest zazwyczaj tak hakersko zaimplementowany że zwykł filtr serwletowy nie wystarczał a z poziomu LoginModule z kolei nie dało się dostać w prosty sposób do requesta. Ponadto uprawnienia jakie można zmapować przy użyciu Principal/Subject oraz reguły zabezpieczeń w web.xml są dosyć ubogie. W efekcie nastąpił wysyp takich rozwiązań jak Spring Security, Seam ma własną warstwę odpowiedzialną za security a standard jak zwykle nadrabia z opóźnieniem...
Bolek, mój Ty złociutki. Takiego podsumowania jakiejkolwiek
technologii/rozwiązania nie czytałem już dawno! Gdyby pojawiło się to
na blogu, to na moim delicious padłaby rekomendacja "lektura
obowiązkowa" i jeszcze nagłośniłbym na twitterze :) Takich podsumowań
z właściwie dobraną dawką własnej opinii życzyłbym sobie więcej.
Boleslaw Dawidowicz
lol... dzięki za komplementa :) Zaraz... blogowanie... miałem to chyba gdzieś w moich noworocznych postanowieniach... oj... w zeszłorocznych chyba też...
Bolek
adrian
wybrałem na spotkanie. Prezentację oceniam na ocenę dobrą, już
tłumaczę dlaczego nie na bardzo dobry, temat prezentacji: "....Spring
security dla bardzo NIEzaawansowanych.". Trochę zabrakło mi szerszego
wprowadzenia do SSec, zdaję sobie sprawę z tego, że czas prezentacji
jest ograniczony ale w kilku zdaniach fajnie byłoby powiedzieć o
elementach z których składa się omawiana biblioteka, jak wygląda
typowy flow podczas np. wywołania metody serwisu z nałożoną regułą
bezpieczeństwa i jakie obiektu biorą udział w takim wywołaniu. Takie
wprowadzenie w którym pojawiłoby się przedstawienie ogólnego konceptu.
Osobiście też chciałbym posłuchać więcej o ochronie obiektów
domenowych, ale nie można mieć wszystkiego. Poza tym było fajnie,
udane wystąpienie.
Bartek Zdanowski
Zwlekałem z losowaniem, bo czekałem na odpowiedź z JetBrains z poprzedniego losowania. Po zmianie zasad musimy przetrzeć szlak. Użyłem random.org. Oto 2 wylosowane nazwiska, spośród 13 zgłoszonych:
* Gmatusik
* Jakub Nabrdalik
GMatusika proszę o kontakt na priv, w celu ustalenia danych osobowych. Kubie gratuluję, bo random.org postanowił go wynagrodzić za wystąpienie! To się nazywa fart.
Przybywajcie tłumnie jutro, bo oprócz (jestem przekonany) świetnej prezentacji, będziecie mogli wylosować kolejną licencję IntelliJ Idea. Jeśli przyjdzie >=50 osób to będą 2 licencje.
Paweł Łaski
> Hej.
> Kto byl wczoraj na prezentacji Jakuba i jest zainteresowany losowaniem
> licencji na IntelliJ Idea?
>
Piotr Zajączkowski
Paweł Łaski
On 22 Mar, 04:44, Piotr Zajączkowski <p.m.zajaczkow...@gmail.com>
wrote:
Bartek Zdanowski
Zniwus
Chcialem tylko powiedziec ze bylem na spotkaniu :-)
W dniu 2011-03-22 08:26 użytkownik "Bartek Zdanowski" <bartek.z...@gmail.com> napisał:
To czemu sie zglosiles?
On 3/22/11, Paweł Łaski <zni...@gmail.com> wrote:
> Wiem o tym, a nawet nie jest mi potrzebna teraz...
--
Pozdrawiam,
Bartek Zdanowski
Bloguję http://blog.bartekzdanowski.pl i twittuję
KO Warsjawa 2011 - http://warsjawa.pl
--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Jav...
Bartek Zdanowski
ciekawego.
> nazwie "Warszawa Java User Group (Warszawa JUG)".
>
> Aby zamieszczać posty w tej grupie, wyślij e-mail na adres
> warsza...@googlegroups.com.
> Aby anulować subskrypcję tej grupy, wyślij e-mail na adres
> warszawa-jug...@googlegroups.com.
> Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem
> http://groups.google.com/group/warszawa-jug?hl=pl.
>
>
--
Pozdrawiam,
Bartek Zdanowski
Bloguję http://blog.bartekzdanowski.pl i twittuję
http://twitter.com/bartekzdanowski
Confitura 2011 (dawniej Javarsovia) - http://confitura.pl
Jacek Laskowski
> Ok. Lista sprawdzona ;) Przyjdz dzisiaj! SM na pewno zademonstruje cos
> ciekawego.
Raczej SA z SM :P
Bartek Zdanowski
Jacek Laskowski
> Nie okumam. Obaj sa z Software Mill czy ccos pokrecilem?
Hehe, SA to szimano i Adam, a SM to SoftwareMill, więc będzie SA z SM
:-) Jak rozumiem, to nie SM będzie prezentował, a jedynie garstka ich
zespołu (i to pewnie ta najmniej produktywna :P)
Bartek Zdanowski
2011/3/22 Bartek Zdanowski <bartek.z...@gmail.com>:
> Nie okumam. Obaj sa z Software Mill czy ccos pokrecilem?Hehe, SA to szimano i Adam, a SM to SoftwareMill, więc będzie SA z SM
:-) Jak rozumiem, to nie SM będzie prezentował, a jedynie garstka ich
zespołu (i to pewnie ta najmniej produktywna :P)
Eheh, jak zwykle, bossowie tylko reprezentują firmę... ;)
Jacek
--
Jacek Laskowski
Java EE, functional languages and IBM WebSphere - http://blog.japila.pl
Warszawa JUG conference = Confitura (formerly Javarsovia) :: http://confitura.pl
--
Otrzymujesz tę wiadomość, ponieważ subskrybujesz grupę dyskusyjną Google o nazwie "Warszawa Java User Group (Warszawa JUG)".
Aby zamieszczać posty w tej grupie, wyślij e-mail na adres warsza...@googlegroups.com.
Aby anulować subskrypcję tej grupy, wyślij e-mail na adres warszawa-jug...@googlegroups.com.
Aby uzyskać więcej informacji, odwiedź tę grupę pod adresem http://groups.google.com/group/warszawa-jug?hl=pl.