Übersicht über Rich UI-Sicherheit
Die Sicherheit kann über einen Web-Container (die Umgebung, in der eine Anwendung ausgeführt wird) oder von der Anwendung selbst verwaltet werden. Ein Web-Container gleicht einem JEE-Anwendungsserver wie beispielsweise IBM® WebSphere Application Server oder Apache Tomcat. Die durch Web-Container verwaltete Sicherheit wird auch als JEE- oder J2EE-Sicherheit bezeichnet. Sicherheit, die vom Entwickler der Anwendung geschrieben wird (anwendungsverwaltete Sicherheit), wird auch als angepasste Sicherheit bezeichnet. Beide Arten der Sicherheit bieten Vor- und Nachteile, die Sie vor der Implementierung verstehen sollten.
Sie können auswählen, ob Sie deklarative oder programmgestützte Sicherheit verwenden wollen. Bei der deklarativen Sicherheit werden Sicherheitsrichtlinien außerhalb der Anwendung in Implementierungsdeskriptoren oder Konfigurationsdateien definiert, sodass die Sicherheit in der Anwendung selbst nicht verankert ist. Bei der programmgestützten Sicherheit enthält der Anwendungscode explizite Sicherheitsaufrufe.
Die durch Web-Container verwaltete Sicherheit (JEE) ist deklarativ, weil Integritätsbedingungen für die Sicherheit in Implementierungsdeskriptoren oder Konfigurationsdateien definiert sind. Die JEE-Sicherheit kann auch programmgestützt sein, da sie einige sicherheitsrelevante APIs enthält, die in der Anwendung aufgerufen werden können. Anwendungsverwaltete (angepasste) Sicherheit ist programmgestützt, weil die Sicherheit vollständig innerhalb der Anwendung gehandhabt wird.
- Authentifizierung
- Die Methode, mit der die Identität eines Benutzers überprüft wird. In der Regel erfolgt Authentifizierung durch Bereitstellen einer Benutzer-ID und eines Kennworts in einer Anmeldeanzeige.
- Berechtigung
- Der Prozess, bei dem ermittelt wird, ob ein Benutzer die Berechtigung für den Zugriff auf eine bestimmte Ressource hat.
- Vertraulichkeit
- Garantiert, dass Daten, die zwischen einem Sender und einem Empfänger übergeben werden, vor dem Abhören geschützt sind.
- Integrität
- Stellt sicher, dass Daten, die zwischen einem Sender und einem Empfänger fließen, bei der Übertragung nicht geändert wurden.