Dokumen tersebut membahas tentang mengamankan komponen web Java EE dengan menggunakan otentikasi dasar HTTP. Dijelaskan proses konfigurasinya melalui penambahan pengguna, peran keamanan, dan pembatasan keamanan pada deployment descriptor standar dan khusus GlassFish serta mengakses URL teramankan setelah login.

1. Mengamankan Aplikasi Java EE 6 Bowo Prasetyo Tutorial Keamanan Java EE 6 dengan Netbeans dan GlassFish 3 Nopember 2011 http://www.scribd.com/prazjp http://www.slideshare.net/bowoprasetyo

2. Prasyarat Tutorial ini menggunakan software berikut: Java EE 6 SDK ( http://java.sun.com/javaee/sdk/ )

3. Netbeans IDE v 7.0.1 ( http://netbeans.org/ )

4. GlassFish Application Server v 3.1.1 ( http://glassfish.java.net/ )

5. Keamanan Java EE 6 Keamanan deklaratif Menggunakan deployment descriptor (file XML) atau anotasi (di kode sumber)

6. Default menggunakan keamanan deklaratif Keamanan programatis Ditulis di logika aplikasi

7. Bila keamanan deklaratif tidak mencukupi

8. Proses Keamanan – 1 Request awal Web client me- request URL aplikasi.

9. Proses Keamanan – 2 Otentikasi awal Web server mengembalikan form untuk mengumpulkan data otentikasi ( username dan password ). Web client mengirim data otentikasi ke web server untuk divalidasi.

10. Apabila data otentikasi valid, web server mengeset credential untuk pengguna.

11. Proses Keamanan – 3 Otorisasi URL Web server berkonsultasi dengan security policy yang diasosiasikan terhadap web resource .

12. Web server mengecek credential pengguna terhadap setiap peran, apakah dia “ authorized ” atau “ not authorized ”.

13. Proses Keamanan – 4 Memenuhi request pertama Bila pengguna “ authorized ”, web server mengembalikan hasil request URL yang pertama.

14. Di contoh ini berupa form yang selanjutnya perlu ditangani oleh enterpise bean .

15. Proses Keamanan – 5 Memanggil metoda bisnis enterprise bean Web page memanggil metoda enterprise bean secara remote , menggunakan credential pengguna.

16. EJB container berkonsultasi dengan security policy yang diasosiasikan terhadap enterprise bean .

17. EJB container mengecek credential pengguna terhadap setiap peran, apakah dia “ authorized ” atau “ not authorized ”.

18. Mengamankan Server GlassFish Menambah, menghapus, atau mengubah authorized users .

19. Mengonfigurasi listener HTTP dan IIOP yang secure .

20. Mengonfigurasi konektor JMX yang secure .

21. Menambah, menghapus, atau mengubah security realm .

22. Mengeset dan mengubah policy permission aplikasi.

23. Mengamankan Komponen Web dan Komponen Bisnis Mengamankan komponen web Security context di web server .

24. Mengamankan servlets, JSP, JSF, facelets. Mengamankan komponen bisnis Security context di EJB container .

25. Mengamankan EJB.

26. Security Realm Domain security policy yang didefinisikan untuk web server atau application server , dan terdiri dari user, group, role dan pemetaan role -> user/group .

27. Security Realm Realm file Credential pengguna di file lokal keyfile .

28. Untuk koneksi non-HTTPS. Realm sertifikat Credential pengguna di database sertifikat.

29. Untuk koneksi HTTPS. Realm admin Credential administrator di admin-keyfile .

30. Mekanisme Otentikasi Otentikasi dasar HTTP Username dan password di form default Otentikasi berbasis form Form data otentikasi dapat dikustomisasi Otentikasi digest Otentikasi dasar dengan password terenkripsi Otentikasi klien Server mengotentikasi klien dengan public key Otentikasi mutualisme Server dan klien saling mengotentikasi

31. Aplikasi Java EE HelloEnterprise

32. HelloEnterprise Aplikasi Java enterprise dengan GlassFish untuk menampilkan “Hello World!”.

33. Class Diagram dan Sequence Diagram Aplikasi hanya terdiri dari 1 halaman JSP di server, yaitu index.jsp yang mem- build halaman HTML yang berisi 'Hello World!' untuk ditampilkan di client. requestAccess : Pengguna mengakses index.jsp di server.

34. buildHtml : server mem- build halaman HTML dan ditampilkan di client.

35. Membuat HelloEnterprise Jalankan Netbeans.

36. Pilih menu File -> New Project ...

37. Pilih project Java EE -> Enterprise Application , klik Next.

38. Isi Project Name : HelloEnterprise, biarkan lainnya bernilai default, klik Next .

39. Pilih server: GlassFish Server 3.x , atau klik Add... bila belum ada.

40. Cek Enable Context and Dependency Injection , klik Finish .

41. Menambah Server GlassFish Bila belum ada pilihan GlassFish Server 3.x: Setelah klik Add... , pilih server GlassFish Server 3.x , klik Next .

42. Tentukan lokasi server, klik Browse... pilih direktori instalasi GlassFish, mis. C:\servers\glassfish3 , klik Next .

43. Daftarkan domain lokal: “hello”, klik Finish .

44. Project Explorer: HelloEnterprise

45. Komponen Web “ index.jsp ” By default telah dibuatkan sebuah “ index.jsp ” di modul web HelloEnterprise-war <%@page contentType=&quot;text/html&quot; pageEncoding=&quot;UTF-8&quot;%> <!DOCTYPE html>

46. Komponen Web “ index.jsp ” <html> <head> <meta http-equiv=&quot;Content-Type&quot; content=&quot;text/html; charset=UTF-8&quot;> <title>JSP Page</title> </head> <body> <h1>Hello World!</h1> </body> </html>

47. Mendeploy HelloEnterprise Di Project Explorer klik kanan project HelloEnterprise -> Deploy .

48. Buka konsol administrasi GlassFish di http://localhost:4848/ .

49. Di menu kanan buka Applications -> klik HelloEnterprise.

50. Di tabel Modules and Components , klik Launch .

51. Untuk membuka aplikasi, klik link http://localhost:8080/HelloEnterprise-war/ .

52. Aplikasi HelloEnterprise

53. Aplikasi Java EE Mengamankan Komponen Web dengan Otentikasi Dasar HTTP

54. Otentikasi Dasar HTTP Di sini akan digunakan otentikasi dasar HTTP untuk mekanisme keamanan.