Restricciones de seguridad en una aplicación WEB J2EE

Los descriptores de las restricciones de seguridad de una aplicación WEB son detallados en el web.xml (descriptor de despliegue).

Están formados por:
1) Una colección de recursos WEB (patrones URL y metodos HTTP).

<url-pattern>: indica el contexto dentro de la aplicación web que se verá afectada por la restricción.
<http-method>: indica los métodos que se ven afectados por la restricción.
<http-method-omission>: Indica que metodos HTTP aplican la restricción excluyendo a todos los demás.
2) Restricción de acceso por roles:

<role-name>: Nombre del rol al que afecta la restricción.

3) Restricciones sobre los datos de usuario y su transporte.

<transport-guarantee>: Define la protección de datos que lleva el transporte.

  • CONFIDENTIAL: all user data must be encrypted by the transport (typically using SSL/TLS).
  • NONE: no protection of user data must be performed by the transport.

 

Ej de configuraciones:

1) Acceso público a parte de una aplicación (sin restricción de acceso): recursos que son de ámbito publico en la WEB.

 

2) Restricción de Acceso por ROL: Operaciones sobre recursos que sólo son accesibles a los usuarios de un rol determinado.

3) Denegar el acceso http a todos los metodos salvo al GET y POST.

NOTA: Métodos del protocolo HTTP: HEAD, GET, POST, PUT, DELETE y TRACE.