Security
O Componente de segurança tem duas implementações, uma baseada em JWT e a outra em um Token gerido pelo próprio backend, cada uma atende uma estratégia de uso para webapps e/ou microservices.
O módulo security é o gestor do contexto de segurança, suas implementações fazem a gestão do objeto de autorização, detalharemos a seguir como cada implementação funciona.
Para utilizar o módulo de segurança você deve importar a dependência
<dependency>
<groupId>org.demoiselle.jee</groupId>
<artifactId>demoiselle-security-jwt</artifactId>
<version>3.0.0</version>
</dependency>
ou
<dependency>
<groupId>org.demoiselle.jee</groupId>
<artifactId>demoiselle-security-token</artifactId>
<version>3.0.0</version>
</dependency>
Dependendo da estratégia escolhida.
Caso você crie sua app a partir de um parent
<parent>
<groupId>org.demoiselle.jee</groupId>
<artifactId>demoiselle-parent</artifactId>
<version>3.0.0</version>
</parent>
Ele já agrega o módulo JWT, não há necessidade de colocar a dependência.
O módulo de segurança funciona independente e em qualquer app JEE7.
Para manter o usuário no contexto de segurança usamos a Classe DemoiselleUser.
Exemplo de login com JWT:
@Inject
private SecurityContext securityContext;
@Inject
private DemoiselleUser loggedUser;
@POST
public Response login(Credentials credentials) {
// sua implementação para verificar se o usuário e senha estão ok
Usuario usu = dao.verifyEmail(credentials.getUsername(), credentials.getPassword());
if (usu != null) {
// aqui é carregado o DemoisellePrincial e entregue ao
// contexto de segurança para ser gerado um token novo
loggedUser.setName(usu.getNome());
loggedUser.setIdentity("" + usu.getId());
loggedUser.addRole(usu.getPerfil());
loggedUser.addPermission("SWAGGER", "LIST");
loggedUser.addParam("Fone", usu.getFone());
loggedUser.addParam("Email", usu.getEmail());
securityContext.setUser(loggedUser);
} else {
throw new DemoiselleSecurityException(bundle.invalidCredentials(), Response.Status.UNAUTHORIZED.getStatusCode());
}
return Response.ok().entity(token.getKey().toString()).build();
}
@GET
@Autenticated
public Response retoken() {
// Esse processo gera um novo token com o tempo limite novo
// em caso de revogação nesse ponto deve-se verificar se o
// usuário pode renovar o token ou é negado
loggedUser = securityContext.getUser();
securityContext.setUser(loggedUser);
return Response.ok().entity(token.getKey().toString()).build();
}
@GET
@Path("publicKey")
public Response getPublicKey() {
// disponibilizar a chave pública permite outros servidores
// poderem confiar nos tokens gerados nesse servidor
// é uma boa pratica expor a chave pública
return Response.ok().entity("{\"publicKey\":\"" + config.getPublicKey() + "\"}").build();
}
# Propriedades de segurança que serão enviadas no head
# cada app deve colocar as suas, essas são nossas sugestões
demoiselle.security.paramsHeaderSecuriry.x-content-type-options=nosniff
#https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options
demoiselle.security.paramsHeaderSecuriry.x-frame-options=SAMEORIGIN
#https://scotthelme.co.uk/hardening-your-http-response-headers/#x-frame-options
demoiselle.security.paramsHeaderSecuriry.x-xss-protection=1; mode=block
#https://scotthelme.co.uk/hardening-your-http-response-headers/#x-xss-protection
demoiselle.security.paramsHeaderSecuriry.Strict-Transport-Security=strict-transport-security: max-age=31536000; includeSubDomains
#https://scotthelme.co.uk/hsts-the-missing-link-in-tls/
demoiselle.security.paramsHeaderSecuriry.Content-Security-Policy=script-src 'self'
#https://scotthelme.co.uk/content-security-policy-an-introduction/
#demoiselle.security.paramsHeaderSecuriry.Public-Key-Pins=
#https://scotthelme.co.uk/hpkp-http-public-key-pinning/
#https://tools.ietf.org/html/rfc6797
#https://tools.ietf.org/html/rfc7762
#https://tools.ietf.org/html/rfc7469
# visite https://securityheaders.io
Para maiores informações visite https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS