painless applica on security
play

Painless Applica,on Security Les Hazlewood Apache Shiro - PowerPoint PPT Presentation

Aug 23, 2022 •184 likes •628 views

Painless Applica,on Security Les Hazlewood Apache Shiro Project Chair CTO, Kataso5 Inc / CloudDirectory What is Apache Shiro? Applica>on security

  1. Painless ¡Applica,on ¡Security ¡ Les ¡Hazlewood ¡ Apache ¡Shiro ¡Project ¡Chair ¡ ¡ CTO, ¡Kataso5 ¡Inc ¡/ ¡CloudDirectory ¡

  2. What ¡is ¡Apache ¡Shiro? ¡ • Applica>on ¡security ¡framework ¡ • ASF ¡TLP ¡-­‑ ¡hFp://shiro.apache.org ¡ • Quick ¡and ¡Easy ¡ • Comprehensive ¡ • Simplifies ¡Security ¡Concepts ¡& ¡Design ¡

  3. Agenda ¡ Authen>ca>on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  4. Authen,ca,on ¡ Authen,ca,on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  5. Authen,ca,on ¡Defined ¡ Identity verification: Proving a user is who he says he is

  6. Shiro ¡Authen,ca,on ¡Features ¡ • Subject-­‑based ¡(current ¡user) ¡ • Single ¡method ¡call ¡ • Rich ¡Excep>on ¡Hierarchy ¡ • ‘Remember ¡Me’ ¡built ¡in ¡ • Event ¡listeners ¡

  7. How ¡to ¡Authen,cate ¡with ¡Shiro ¡ Steps 1. Collect principals & credentials 2. Submit to Authentication System 3. Allow, retry, or block access

  8. Step ¡1: ¡Collec,ng ¡Principals ¡& ¡Creden,als ¡ UsernamePasswordToken token = new UsernamePasswordToken(username, password); //”Remember Me” built-in: token.setRememberMe(true);

  9. Step ¡2: ¡Submission ¡ Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token);

  10. Step ¡3: ¡Grant ¡Access ¡or ¡Handle ¡Failure ¡ ¡ try { currentUser.login(token); } catch (UnknownAccountException uae ){ ... } catch (IncorrectCredentialsException ice { ... } catch ( LockedAccountException lae ) { ... } catch ( ExcessiveAttemptsException eae ) { ... } ... catch your own ... } catch ( AuthenticationException ae ) { //unexpected error? } //No problems, show authenticated view…

  11. How ¡does ¡it ¡work? ¡ Subject ¡ .login(token) ¡ SecurityManager ¡ Authen>ca>on ¡ Authen>cator ¡ Strategy ¡ … ¡ Realm ¡2 ¡ Realm ¡N ¡ Realm ¡1 ¡

  12. Authoriza,on ¡ Authen>ca>on ¡ Authoriza,on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  13. Authoriza,on ¡Defined ¡ Process ¡of ¡determining ¡“who ¡can ¡do ¡what” ¡ AKA ¡Access ¡Control ¡ ¡ Elements ¡of ¡Authoriza,on ¡ • Permissions ¡ • Roles ¡ • Users ¡

  14. Authoriza,on ¡Features ¡ • Subject-­‑centric ¡(current ¡user) ¡ • Checks ¡based ¡on ¡roles ¡or ¡permissions ¡ • Powerful ¡out-­‑of-­‑the-­‑box ¡WildcardPermission ¡ • Any ¡data ¡model ¡– ¡Realms ¡decide ¡

  15. How ¡to ¡Authorize ¡with ¡Shiro ¡ Mul>ple ¡means ¡of ¡checking ¡access ¡control: ¡ • Programma>cally ¡ • Java ¡Annota>ons ¡& ¡AOP ¡ • JSP/GSP/JSF ¡TagLibs ¡(web ¡support) ¡

  16. Programma,c ¡Authoriza,on ¡ Role ¡Check ¡ //get the current Subject Subject currentUser = SecurityUtils.getSubject(); if (currentUser.hasRole(“administrator”)) { //show the ‘delete user’ button } else { //don’t show the button?) }

  17. Programma,c ¡Authoriza,on ¡ Permission ¡Check ¡(String-­‑based) ¡ String perm = “user:delete:jsmith”; if(currentUser.isPermitted(perm)){ //show the ‘delete user’ button } else { //don’t show the button? }

  18. Annota,on ¡Authoriza,on ¡ Role ¡Check ¡ @RequiresRoles( “teller” ) public void openAccount(Account a) { //do something in here that //only a ‘teller’ should do }

  19. Annota,on ¡Authoriza,on ¡ Permission ¡Check ¡ @RequiresPermissions(“account:create”) public void openAccount(Account a) { //create the account }

  20. Enterprise ¡Session ¡Management ¡ Authen>ca>on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  21. Session ¡Management ¡Defined ¡ Managing ¡the ¡lifecycle ¡of ¡Subject-­‑specific ¡ temporal ¡data ¡context ¡

  22. Session ¡Management ¡Features ¡ • Heterogeneous ¡client ¡access ¡ • POJO/JSE ¡based ¡(IoC ¡friendly) ¡ • Event ¡listeners ¡ • Host ¡address ¡reten>on ¡ • Transparent ¡web ¡use ¡-­‑ ¡HFpSession ¡ • Container-­‑Independent ¡Clustering! ¡

  23. Acquiring ¡and ¡Crea,ng ¡Sessions ¡ Subject currentUser = SecurityUtils.getSubject() //guarantee a session Session session = subject.getSession(); //get a session if it exists subject.getSession(false);

  24. Session ¡API ¡ getStartTimestamp() getLastAccessTime() getAttribute(key) setAttribute(key, value) get/setTimeout(long) touch() ...

  25. Cryptography ¡ Authen>ca>on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  26. Cryptography ¡Defined ¡ Protec>ng ¡informa>on ¡from ¡undesired ¡access ¡by ¡ hiding ¡it ¡or ¡conver>ng ¡it ¡into ¡nonsense. ¡ ¡ Elements ¡of ¡Cryptography ¡ • Ciphers ¡ • Hashes ¡

  27. Cryptography ¡Features ¡ Simplicity ¡ • Interface-­‑driven, ¡POJO ¡based ¡ • Simplified ¡wrapper ¡over ¡JCE ¡infrastructure ¡ • “Object ¡Orien>fies” ¡cryptography ¡concepts ¡ • Easier ¡to ¡understand ¡API ¡ • More ¡Secure ¡Defaults ¡than ¡the ¡JDK! ¡

  28. Example: ¡Plaintext ¡ (image ¡courtesy ¡WikiPedia) ¡

  29. Example: ¡ECB ¡Mode ¡(JDK ¡Default!) ¡ (image ¡courtesy ¡WikiPedia) ¡

  30. Example: ¡Shiro ¡Defaults ¡ (image ¡courtesy ¡WikiPedia) ¡

  31. CipherService ¡Example ¡ AesCipherService service = new AesCipherService(); service.setKeySize(256); byte[] key = service.generateNewKey() .getEncoded(); byte[] encrypted = service.encrypt(rawData,key);

  32. Hash ¡Features ¡ • Default ¡interface ¡implementa>ons ¡ MD5, ¡SHA1, ¡SHA-­‑256, ¡et. ¡al. ¡ • Built ¡in ¡Hex ¡& ¡Base64 ¡conversion ¡ • Built-­‑in ¡support ¡for ¡Salts ¡and ¡repeated ¡hashing ¡

  33. Intui,ve ¡OO ¡Hash ¡API ¡ //some examples: new Md5Hash(“foo”).toHex(); //File MD5 Hash value for checksum: new Md5Hash( aFile ).toHex(); //store password, but not plaintext: new Sha512Hash(aPassword, salt, iterations).toBase64();

  34. Web ¡Support ¡ Authen>ca>on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

  35. Web ¡Support ¡Features ¡ • Simple ¡ShiroFilter ¡web.xml ¡defini>on ¡ • Protects ¡all ¡URLs ¡ • Innova>ve ¡Filtering ¡(URL-­‑specific ¡chains) ¡ • JSP ¡Tag ¡support ¡ • Transparent ¡HFpSession ¡support ¡

  36. web.xml ¡ <listener> <listener-class> org.apache.shiro.web.env.EnvironmentLoaderListener </listener-class> </listener> ... <filter> <filter-name>ShiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter </filter-class> </filter> <filter-mapping> <filter-name>Sh iroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

  37. shiro.ini ¡ [main] ldapRealm = org.apache.shiro.realm.ldap.JndiLdapRealm ldapRealm.userDnTemplate = uid={0},ou=users,dc=mycompany,dc=com ldapRealm.contextFactory.url = ldap://ldapHost:389 securityManager.realm = $realm [urls] /images/** = anon /account/** = authc /rest/** = authcBasic /remoting/** = authc, roles[b2bClient], …

  38. JSP ¡TagLib ¡Authoriza,on ¡ <%@ taglib prefix=“shiro” uri=“http://shiro.apache.org/tags” %> <html> <body> <shiro:hasRole name=“administrator”> <a href=“manageUsers.jsp”> Click here to manage users </a> </shiro:hasRole> <shiro:lacksRole name=“administrator”> No user admin for you! </shiro:lacksRole> </body> </html>

  39. JSP ¡TagLibs ¡ <%@ taglib prefix=“shiro” uri= http://shiro.apache.org/tags %> <!-- Other tags: --> <shiro:guest/> <shiro:user/> <shiro:principal/> <shiro:hasRole/> <shiro:lacksRole/> <shiro:hasAnyRoles/> <shiro:hasPermission/> <shiro:lacksPermission/> <shiro:authenticated/> <shiro:notAuthenticated/>

  40. Auxiliary ¡Features ¡ Authen>ca>on ¡ Authoriza>on ¡ Session ¡ Cryptography ¡ Management ¡ Web ¡Support ¡ Auxiliary ¡Features ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

TRILL over IP draft-mrw-trill-over-ip-00.txt Margaret Wasserman &lt;mrw@painless-security.com&gt;

TRILL over IP draft-mrw-trill-over-ip-00.txt Margaret Wasserman &lt;mrw@painless-security.com&gt;

TRILL over IP draft-mrw-trill-over-ip-00.txt Margaret Wasserman &lt;mrw@painless-security.com&gt; Donald Eastlake &lt;d3e3e3@gmail.com&gt; Dacheng Zhang &lt;zhangdacheng@huawei.com&gt; TRILL over IP Basics TRILL Protocol defined in RFCs

251 views • 12 slides
Web applica*on security for dynamic languages zane@etsy.com

Web applica*on security for dynamic languages zane@etsy.com

Web applica*on security for dynamic languages zane@etsy.com @zanelackey Who am I? Security Engineering Manager @ Etsy Lead AppSec/NetSec/SecEng teams

1.09k views • 94 slides
Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for Research and Technology Hellas (FORTH) Outline Background and mo-va-on GPU-based,

961 views • 62 slides
Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S systems Overview of S2S system architecture Modeling contextual informa(on in S2S

977 views • 75 slides
Painless machine learning in production H. Chase Stevens Principal Data Science Engineer,

Painless machine learning in production H. Chase Stevens Principal Data Science Engineer,

Painless machine learning in production H. Chase Stevens Principal Data Science Engineer, Boston, MA chase@chasestevens.com @hchasestevens Europython 2020 Painless machine learning in production Painless machine learning in

694 views • 66 slides
Research can be fun, informative and relatively painless. All you need is a research kit and

Research can be fun, informative and relatively painless. All you need is a research kit and

Research can be fun, informative and relatively painless. All you need is a research kit and curiosity! Professor Sue Wheeler University of Leicester IACP Introduction to Research Day Dublin 12 October 2013 Dont run away yet, it may not be

405 views • 29 slides
Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin

Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin

Invest in security to secure investments Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin About ERPScan The only 360-degree SAP

1.12k views • 79 slides
Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu

Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu

August 21, 2019 Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu curity rity Project ject OWASP ModSecurity Core Rule Set (CRS) OWASP Top 10 Most Critical Web Application Security Risks

490 views • 21 slides
Painless Transition From SW- Painless Transition From SW- CMM Level 2 to CMMI Level 3 CMM Level

Painless Transition From SW- Painless Transition From SW- CMM Level 2 to CMMI Level 3 CMM Level

Painless Transition From SW- Painless Transition From SW- CMM Level 2 to CMMI Level 3 CMM Level 2 to CMMI Level 3 Ruth Berggren Ruth Berggren EDS EDS EIT, Enterprise Processes and Solutions EIT, Enterprise Processes and Solutions Agenda

744 views • 30 slides
FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes,

FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes,

FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes, Jus/n Paupore, Amir Rahma/, Daniel Simionato, Mauro Con/, Atul Prakash University of Michigan, University of Padova Published at USENIX Security 2016

468 views • 22 slides
CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica

CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica

CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica pplications tions Two Types of Applications: CI: C apital I mprovement projects funded by CDBG only SS:S ocial S ervice projects funded by CDBG

378 views • 37 slides
LOBBY 10 1 PAINLESS ADVOCACY: The Art of Successfully Engaging with Your Elected officials

LOBBY 10 1 PAINLESS ADVOCACY: The Art of Successfully Engaging with Your Elected officials

LOBBY 10 1 PAINLESS ADVOCACY: The Art of Successfully Engaging with Your Elected officials PRESENTED BY Ellen Teller, Food Research and Action Center Carrie Calvert, Feeding America February 21, 2017, 4:00 PM EST Local Voices Matter!

436 views • 19 slides
Applica.ons of Crypto: SSL/TLS Slides credit: Dan Boneh, Doug Tygar, David

Applica.ons of Crypto: SSL/TLS Slides credit: Dan Boneh, Doug Tygar, David

Computer Security Course. Dawn

715 views • 26 slides
Grid Applica+on Meta-Repository - Repository interconnec+vity

Grid Applica+on Meta-Repository - Repository interconnec+vity

Grid Applica+on Meta-Repository - Repository interconnec+vity and cross-domain applica+on usage in distributed compu+ng environments - Alexandru Tudose

389 views • 14 slides
Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan,

Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan,

Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan, Tan, CSE, CSE, Penn Penn State State Nov 15th, 2019 @ 2 nd IoT Security and Privacy Workshop Internet of Things (IoT) enables the future Power

686 views • 51 slides
Email Security Guevara Noubir Network Security Northeastern

Email Security Guevara Noubir Network Security Northeastern

Email Security Guevara Noubir Network Security Northeastern University Email Security 1 Email One of the most widely used applica&gt;ons of the

360 views • 14 slides
Security Essentials for IoT Product Developers Intel Global IoT DevFest 2017 Louis Parks, CEO

Security Essentials for IoT Product Developers Intel Global IoT DevFest 2017 Louis Parks, CEO

11/7/2017 Security Essentials for IoT Product Developers Intel Global IoT DevFest 2017 Louis Parks, CEO LParks@SecureRF.com Derek Atkins, CTO Datkins@SecureRF.com Authentication and Data Protection For the Smallest Internet of Things

430 views • 16 slides
BAE Systems Proposed Acquisitions of: Collins Aerospaces Military Global Positioning Systems

BAE Systems Proposed Acquisitions of: Collins Aerospaces Military Global Positioning Systems

1 BAE Systems Proposed Acquisitions of: Collins Aerospaces Military Global Positioning Systems business GPS Business and Raytheons Airborne Tactical Radios business Radios Business 20 January 2020 Beta SENSITIVE 2

162 views • 14 slides
PROJECT RHAPSODY Credential Vault for Personal and Enterprise Use 1 WHAT IS RHAPSODY? A

PROJECT RHAPSODY Credential Vault for Personal and Enterprise Use 1 WHAT IS RHAPSODY? A

RSA LABS PROJECT RHAPSODY Credential Vault for Personal and Enterprise Use 1 WHAT IS RHAPSODY? A credential management service that allows individuals and employees to securely and seamlessly access any app from any device. 2 RHAPSODY

239 views • 9 slides
Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is

Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is

Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is not wholly affected by a bug in one aspect of it. ) General-purpose computational environments. Secure temper responsive physical package.

366 views • 14 slides
OpenStack Security Group (OSSG) An Update On Our Progress And Plans Bryan D. Payne Robert Clark

OpenStack Security Group (OSSG) An Update On Our Progress And Plans Bryan D. Payne Robert Clark

OpenStack Security Group (OSSG) An Update On Our Progress And Plans Bryan D. Payne Robert Clark Nathan Kinder Agenda What is OSSG? What have we been doing? What are OSSGs plans? How you can help! Introduction OSSG

495 views • 31 slides
Distributed Identity Based Short Linkable Ring Signature Kasra EdalatNejad Prof. Bryan Ford

Distributed Identity Based Short Linkable Ring Signature Kasra EdalatNejad Prof. Bryan Ford

Distributed Identity Based Short Linkable Ring Signature Kasra EdalatNejad Prof. Bryan Ford DEcentralized and DIstributed Systems Goal Anonymity Accountability Usability 2 Ring Signature Anonymous Spontaneous 3 Linkable Ring

372 views • 24 slides
Sample or Random Security A Security Model for Segment-Based Visual Cryptography Sebastian

Sample or Random Security A Security Model for Segment-Based Visual Cryptography Sebastian

Sample or Random Security A Security Model for Segment-Based Visual Cryptography Sebastian Pape Dortmund Technical University March 5th, 2014 Financial Cryptography and Data Security 2014 Sebastian Pape Sample or Random Security March

541 views • 25 slides
Cryptography for Cloud Security Mohsen Toorani Department of Informatics, University of Bergen

Cryptography for Cloud Security Mohsen Toorani Department of Informatics, University of Bergen

Cryptography for Cloud Security Mohsen Toorani Department of Informatics, University of Bergen Simula@UiB Coins Winter School Finse, Norway May 12, 2017 Mohsen Toorani Cryptography for Cloud Security Finse Winter School 2017 1 / 58 Our

1.39k views • 82 slides

More recommend