問題タブ [java-security]

私はJavaアプリケーションを開発しています。ネットワーク アクセスをブロックするために、セキュリティが制限された JVM で単体テストを実行したいと考えています。

JVM にオプションを追加-Djava.security.manager=default -Djava.security.policy=...file...し、セキュリティ マネージャが有効になりました。

テストを実行し、どのようなセキュリティ違反が発生するかを確認し、ポリシー ファイルでそれを許可することを数回繰り返しました。しかし今では、セキュリティ違反はもうありません。代わりに、これ：

ここで違反しているセキュリティ ポリシーを正確に確認するにはどうすればよいですか? (私は で再実行しようとしまし-Xたが、それは何も新しいことを明らかにしませんでした。)

次のCATALINA_OPTSを使用して、セキュリティオプションなしで開始されたAmazon EC2インスタンスで、jconsoleをtomcatに接続できます

CATALINA_OPTS="-Dcom.sun.management.jmxremote=true -Djava.net.preferIPv4Stack=true -Dcom.sun.management.jmxremote.port=15000 -Dcom.sun.management.jmxremote.rmi.port=15001 -Djava. rmi.server.hostname=XYZM -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=true -Dcom.sun.management.jmxremote.password.file=$CATALINA_HOME/conf/jmxremote .password -Dcom.sun.management.jmxremote.access.file=$CATALINA_HOME/conf/jmxremote.access -Xms150M -Xmx350M"

しかし、セキュリティ オプションを指定して tomcat を起動すると、リモート マシンから jconsole に接続できません。

以下のオラクル リンクから、JMX のcatalina.policyに次のアクセス許可を追加しました。

catalina.policy で jmx に関するいくつかの権限が不足している場合は、助けてください。はいの場合はコメントしてください。

マシン上の Java バージョン: Java バージョン "1.7.0_65"

OpenJDK ランタイム環境 (IcedTea 2.5.3) (7u71-2.5.3-0ubuntu0.14.04.1) OpenJDK 64 ビット サーバー VM (ビルド 24.65-b04、混合モード)

Tomcat バージョン: tomcat-6.0.36

Java セキュリティを有効にすると、Eclipse がクラッシュします。local_policy.jar と US_export_policy.jar を jre/lib/security フォルダーに追加しました。

以下のリンクからファイルを取得しました：

Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 7 : http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

Java セキュリティ ポリシーを正しく設定しようとしています。私のコードは、約 100 の異なる値のいずれかを取ることができるlogin.salesforce.comとxx99.salesforce.comwhereの両方を解決して接続する必要があります。xx99

特定のホストをハードコードすると機能します-たとえば

しかし、これにより、セキュリティ ポリシー ファイルに約 100 のエントリを追加してすべての可能性をカバーすることになり、Salesforce は常に新しいインスタンスを追加するため、メンテナンスは悪夢のようになります。

ホスト/ポートをワイルドカード化すると機能します。

しかし、明らかな答えは失敗します-これ

私にくれます

しばらくこれをじっと見つめていました - 私はそれを理解していません!

Java EE REST アプリケーションに独自の認証と承認を追加しようとしています。JAX-RS の実装 (JWT を使用) とエンドポイント メソッドの注釈を使用して、動作するバージョンを取得することができSecurityContextましContainerRequestFilterた@RolesAllowed。しかし、EJB が必要であり、それらは JAX-RS の SecurityContext をまったく使用しないため (EJBAccessExceptionユーザーの役割に関係なく取得しています)、別の解決策が必要です。

SecurityContext実装可能なEJBのようなものはありますか? または、Shiro のようなライブラリを使用する必要がありますか? アプリケーション自体からユーザーを管理したいので、コンテナーまたは LDAP が提供するユーザー管理はオプションではありません。JPA を使用してユーザーの認証と承認を行っています。

したがって、主な質問は次のとおりです。

JAX-RS フィルターに基づいて、EJB で (@RolesAllowed アノテーションを使用して) 機能する独自の認証およびロールベースの承認メカニズムを実装するにはどうすればよいですか? リクエストがこれらのロールを持つ具体的な認証済みユーザーに関連していることを EJB に伝えるにはどうすればよいですか?

もう 1 つ、ベンダー固有のソリューションは避けたいと思いますが、必要であれば JBoss/Wildfly を使用します。

アプリケーションをjava1.8にアップグレードしています。理由は、一部のお客様が2048 ビット暗号化証明書の使用を開始したためです。しかし、私には 2 つの懸念があります。次の質問について教えてください。

着信トラフィックの場合:

まだ Java 1.7 を使用していて、1024 ビットで暗号化された証明書を使用している顧客は、私たちに接続できますか? - これで下位互換性の問題が発生しないことを願っています。しかし、それでも皆さんからの提案が欲しかったのです。

発信トラフィックの場合:

1024 ビットの暗号化キーをまだ使用している顧客に接続できますか。

1 つの重要なポイントは次のとおりです。

証明書などはアップグレードしていません。jvm のみをアップグレードしました。それだけです。2048 ビットの暗号化キーを使用しているお客様のみ - JDK1.8 のビルト サポートを利用して接続できるように、公開キーをキーストアに保存しました。