Permisos de usuario en Aplicaciones web Java

cesmichael · #1 (**permalink**) 02/12/2010, 00:39

Bueno estoy tratando de desarrollar una aplicacion web java donde habra una tabla que sirva para alamcenar los usuarios, dicha tabla tendra el campo id, nick, password. esta tabla estara referenciada a otra tabla de permisos.

Mi aplicacion web es una e la que hay usuarios y de acuerdo a los permisos que tiene, podra ejecutar diversas funciones. Creo que al menos por el enfoque de las tablas voy bien.

En lo que se me hace un lio es en la forma de mostrar la interfaz. Las funcionalidades estaran agrupados en un navbar, algo asi

Funcion1 | Funcion 2 | Funcion 3

Al hacer clic se abrira u menu despegable y saldran otras subfunciones.

Bueno lo primero que se me ocurrio es hacerlo con un simple i que de acuerdo al id y a la tabla permisos iba verificando si tenia permiso para acceder a cada funcion.

Pero esta opcion me parece un poco tosca.

Quisera saber si existe algún patron de diseño para implmentar permisos y si algún framework de Java ayuda en la implementacion de esta funcionalidad.

Bueno de antemano gracias

erlolialo · #2 (**permalink**) 02/12/2010, 02:50

Mirate Spring Security

nup_ · #3 (**permalink**) 02/12/2010, 08:08

Cita:

Iniciado por cesmichael

...
Quisera saber si existe algún patron de diseño para implmentar permisos y si algún framework de Java ayuda en la implementacion de esta funcionalidad.
...
Bueno de antemano gracias

Si, existen varios modelos para realizar el control de acceso. Échale un vistazo a:
http://www.criptored.upm.es/guiateoria/gt_m214a.htm
http://www.iec.csic.es/criptonomicon/articulos/expertos69.html
http://en.wikipedia.org/wiki/Role-based_access_control
http://www.fing.edu.uy/inco/cursos/fsi/teorico/2010/FSI-2010-RBAC.pdf

En cuanto a implementaciones en Java:
http://www.manageability.org/blog/stuff/single-sign-on-in-java

slds;

Nup_

cesmichael · #4 (**permalink**) 02/12/2010, 10:32

Saben si JSF 2 facilita esta tarea???

erlolialo · #5 (**permalink**) 03/12/2010, 04:49

JSF facilita tareas de seguridad ya que no es necesario controlar que el usuario no modifique una url. Pero respecto al tema de control de login y roles, es independiente, ya que la gestion de la seguridad la haras en la capa de controlador y JSF es un framework para la parte de la vista. Si no usas JSF, ademas de usar Spring Framework o algo similar, deberas usar algun framework con HDIV que impida que el usuario modifique la url. Por ejemplo si tienes el rol usuario, y un usuario logado accede a 'app/usuarios.htm?idUsuario=123', si cambian en la url el 123 por otro id de otro usuario, estara accediendo a datos de los que no debria tener acceso. En cambio con JSF, la url para cualquier usuario es 'app/usuarios.jsf' y la url nunca contendra parametros.