2017年11月24日のSpring Fest 2017での発表に使用した資料です. WebFlux対応の内容は堅田さんに作成頂いたものですが,許可を得て公開しております.
2017年11月24日のSpring Fest 2017での発表に使用した資料です. WebFlux対応の内容は堅田さんに作成頂いたものですが,許可を得て公開しております.
こんにちは、アプリケーション基盤チームの青木(@a_o_k_i_n_g)です。 今回は Java アプリケーションをセキュアに運用する仕組みである Java Security Manager について紹介しようと思います。この仕組みは Linux の強制アクセス制御機構(SELinux や AppArmor) の Java 版に相当するもので、プログラムの挙動を制限することができます。弊社が提供するクラウドサービス cybozu.com でも有効化されています。 セキュアなサービスを提供する上では良い仕組みだと思うのですが、検索したところ Java Security Manager に関する記事があまり多くなかったため、我々が得た知見をここに記します。 Java Security Manager とは Java Security Manager (以下 JSM) とは、Java コードを安
GitHubアカウントでログインできるWebアプリケーションを作りたいなーと思っていたのですが、Javaだとpac4jというライブラリを使うとGitHubを始め、TwitterやFacebookなど様々なサービスのOAuth認証を扱うことができるようです。 github.com SpringMVCやJAX-RSなどのフレームワークとの連携機能も提供されているようですが、今回は基本的な使い方を把握するためにpac4j-oauthというモジュールを使ってサーブレットベースで試してみました。 まずはGitHub上でアプリケーションの登録を行う必要があります。 続いてプログラムの実装に移ります。pom.xmlに以下の依存関係を追加します。 <dependency> <groupId>org.pac4j</groupId> <artifactId>pac4j-oauth</artifactId> <
はじめに 使用するもの Eclipse Gradle 認証サーバここで作成したもの install Eclipse Market Placeから Gradle IDE Pack Spring Tool Suite Project setup project作成 Eclipse - File - New - Project... Gradle - Gradle Project Project nameに任意の名前、Sample ProjectにJava Quick startを選択 不要なパッケージの削除 src/main/java 配下 src/main/resources 配下 src/test/java 配下 src/test/resources 配下 gradleより依存パッケージのインストール package version情報を外出しするため、project直下にgradle.p
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
認証・承認を行うプログラム ユーザー認証や権限の制御を行うために標準APIとしてJAAS(Java Authentication and Authorization Service) APIがあります。 JAASには、ユーザーが正当であることを確認する認証と、ユーザーの権限に応じて要求を制御する承認の2つの要素があります。 認証 認証で使用する主要APIは以下です。 javax.security.auth.login.LoginContext javax.security.auth.spi.LoginModule javax.security.auth.callback.CallbackHandler javax.security.atth.callback.Callback 認証のフローは大まかには以下です。 アプリケーションがLoginContextクラスをインスタンス化する Logi
エフセキュアブログ : 再録:パスワードは本当にSHA-1+saltで十分だと思いますか? に望ましいパスワードのハッシュ化方法について具体的に載っていたので、Javaでどんな感じになるのか確認してみる。 使うのは現在一応安全だと認められているっぽいもので、Oracle JDKにも標準で含まれている PBKDF2 *1 という方式。Wikipedia によると色々なプロダクトでも使われているようだ。 テスト package example; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.security.spec.InvalidKeySpecException; import java.security.spec.KeySpec; import ja
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く