Sécurité des applications J2EE

Présentation des concepts liés à la sécurité

• Principes d'identification et d'authentification
• Gestion des autorisations et permissions
• Problématiques de confidentialité et de non-répudiation
• Techniques de cryptage symétrique et asymétrique
• Attribution de clés publiques et de clés privées, autorités de confiance
• Protection par pare-feu et zone démilitarisée (DMZ)

Authentification et autorisations J2EE avec JAAS

• Principe de JAAS (Java Authentication and Authorization Service)
• Notion de Sujet et de Principal
• Architecture évolutive avec les notions de Contexte et de Module
• Modules JAAS classiques : base de données, LDAP, NTLM, Kerberos,...
• Mise en oeuvre du single sign on

Authentification et autorisations programmatiques

• Prises de sécurité en architecture MVC
• Principe des filtres et application à la sécurité
• Framework Acegi Security
• Techniques propriétaires : exemple des valves de Tomcat

SSL avec Java

• Fonctionnalités de Java Secure Socket Extension (JSSE).
• Certificats X.509
• Protocoles TLS et SSL
• Cryptage à base de clés de session

Sécurisation des services Web

• Problématique de sécurité dans l'échange de données applicatives
• Application des techniques de sécurité Web aux services Web
• Signatures digitales XML, cryptage XML des informations
• Authentification personnalisée : utilisation des en-têtes SOAP.
• Extension de sécurité SOAP (Digital Credentials & Digital Signature Extensions).
• Web Services Security Specifications (WS-Security).