SEGURIDAD DECLARATIVA

Ninguna pagina JSP ni servlet necesita de codigo de seguridad. En su lugar la seguridad es manejada desde el propio servidor. Para prevenir accesos no autorizados Se usa el descriptor de despliegue WEB.XML para indicar que ciertas URL necesitan proteccin. etc, etc, despues sigo con la traduccion

SEGURIDAD PROGRAMADA
Da mas trabajo, pero es totalmente portable. Para prevenir accesos no autorizados No es especifico del servidor y tampoco necesita entradas en el fichero WEB.XML. Cada Servlet o pagina JSP deberia autenticar al usuario o verificar que el usuario ha sido ya autenticado previamente. Para salvaguardar los datos en la red. Cada servlet o pagina JSP deberia de chequear el protocolo de red usado para accederlo. Si el usuario intenta acceder con una conexion HTTP regular , el servlet o JSP deberia de redireccionarlo entoces a su equivalente HTTPS (SSL).

AUTENTIFICACION BASADA EN FORMULARIO

Cuando el usuario no esta todavia autentificado y se intenta acceder a recursos protegidos

El server redirecciona al usuario a una pagina web con un formulario HTML que pregunta por el user y el password. El user , password y role se chequean contra la BBDD Si el login correcto y el role igualado, se visualiza la pagina. Si el login incorrecto , visualiza pagina de error. Si el login correcto pero el role no se iguala , se da codigo de estado 403.
Cuando el usuario esta autenticado y se intenta acceder a recursos protegidos.

Si el role se iguala , se visualiza la pagina

Si el role no se iguala , error 403. Se utiliza rastreo de sesion para decir si el usuario esta autenticado. AUTENTIFICACION BASICA
Cuando el usuario no esta todavia autentificado y se intenta acceder a recursos protegidos El servidor envia un estado 401 al navegador. El navegador abre una caja de dialogo y pregunta por user y password y se envian los datos en la peticion con una cabecera de peticion autorizacion. User y password y roles se chequean contra la BBDD. Si el login es correcto y el role se iguala , se visualiza la pagina. Si el login es incorrecto o el role no se iguala , de nuevo el codigo de estado 401. Cuando el usuario esta autenticado y se intenta acceder a recursos protegidos. Si el role se iguala , se visualiza la pagina Si el rol no se iguala , da un codigo de error 401. La cabecera de peticion se usa para decir si el usuario ya esta autenticado.

AUTENTIFICACION BASADA EN FORMULARIO (SEGURIDAD DECLARATIVA) 1.En el fichero del servidor tomcat (tomcat-users.xml) especificar usuario, password y roles. 2.En el fichero web.xml indicar al servidor que la autentificacion es basada en formulario. Indicar la localizacion de pagina login y login-error.
3.Crear una pagina login.jsp con un formulario HTML en el que se pida user y password , el formulario con metodo POST. 4.Crear la pagina de error , login-error.jsp que tenga un enlace de nuevo a login.jsp. 5.Especificar las URL que seran protegidas con password. Se utiliza el elemento security-constraint de web.xml. Tiene 2 subelementos , el

primero (web-resource-collection)designa las URL las cuales deberian de ser restringidas. El segundo subelemento (auth-constraint)especifica los roles que deberian de tener acceso a las URL dadas.