JOSSO o Single Sign On que funciona!

Construir uma tela de login é um operação relativamente simples que os desenvolvedores passam pelo menos uma vez na vida. Já vi empresas gastarem muito dinheiro em consultorias e soluções de autenticação que não funcionavam.

Autenticar não é o suficiente. Autenticar é só a ponta do iceberg, o bixo pega mesmo quando falamos de autorização. Mas antes de que eu avance muito no assunto, vou definir o que é e o que um SSO deve fazer:
  • Centralizar o acesso aos dados
  • Método padronizado de se autenticar em um sistema
  • Login em 1, acesso em todos os sistemas
  • Auditoria
  • Autorização de acesso a recursos
O que as ferramentas de mercado apresentam?

Problemas. Falando de Java agora. As ferramentas Open Source Java de SSO tem diversos problemas começando pela documentação os exemplos são deveras simples e muito incompletos. Depois vem as dependências. Uma solução de SSO é por natureza complicada. Por que envolve diversos protocolos, componentes e plataformas.

Nenhuma ferramenta de SSO hoje no mercado open source oferece uma boa solução quanto autorização. Muitas vezes isso tem de ser desenvolvimento em casa, mas próprias empresas. Nesse caso pense bem em chamar uma consultoria antes por que seria uma consultoria de autenticação e isso é muito simples não se paga.



Uma boa solução Open Source em Java?

JOSSO. É um SSO open source escrito em Java. Apesar de estar na lista das ferramentas com documentação fraca a solução deles é boa. O mais importante é que funciona! Além do mais é de fácil customização, logo você pode integrar sistemas feitos em outras linguagens com ele sem maiores esforços.

SSOs em geral são de natureza WEB, Se você tem aplicações desktop ai já são outros problemas. Vai ter que desenvolver uma integração. Eu já fiz isso! Fiz uma integração com o Spring Security. Teve uma amigo meu que integrou o JOSSO com Delphi, usando os WEB-Services que o JOSSO disponibiliza.

O que é o Futuro do SSO?

é o canal! Esse é um sistema de identificação que já está sendo muito utilizado pela internet, o Google por exemplo usa OpenID em tudo. Com um único ID e com uma única senha o usuário pode se logar em diversos sites na internet sem ter que se recadastrar. Você já deve ter um OpenID, se você é usuário da AOL, ou da Yahoo ou do Blogger então você já tem um OpenID.

Sim, já existem implementações open source em Java. Mas ainda não são estáveis o suficiente para serem consideradas com solução corporativa. E nesse caso também não existe uma API ou formas mais avançadas de controle de autorização.

O OpenID ainda é considerado inseguro por alguns. Isso se da pelo fato de que a segurança fica a cargo do site que você está autenticando, nada impede que eles apliquem um homem do meio e roubem o seu ID.

Para solucionar esse tipo de problema poderíamos utilizar os cartões. Também conhecidos como I-Cards ou Info-Cards. Sim, existem soluções open source para I-Cards em Java, porem não são estáveis também.

No inicio do post disse que um SSO é por natureza complexo, mas a soluções com Cartões e OpenID juntos são mais complexas ainda do que um SSO tradicional. Existem, algumas soluções open source em Java, mas todas são muito instáveis e algumas apresentam diversos erros de e problemas para instalação e configuração.

Na minha opinião usa solução com OpenID + Cartões é uma solução muito boa de autenticação, mas hoje ainda se mostra inviável e novamente provavelmente isso não vai resolver seus problemas de autorização.

Mas que raios de problemas de autorização?

falei tanto nisso que se eu não explicasse acho que estaria com problemas :). Mas o que ocorre é o seguinte se você está utilizando SOA por exemplo e tem 3 sistemas corporativos, você vai querer colocar SSO nos 3 e vai querer que todos autentiquem e usem a mesma base de dados de usuários.

Porem e se um sistema foi feito em Swing com Spring o outro em Struts e o outro em SWT com EJB, eu lhes pergunto como fica a autorização? Como vocês fazem para controlar quem pode fazer o que? Bom ai entramos no mundo da autorização, é complicado. Muitas vezes precisamos de permissões customizadas do tipo tais usuários podem ver tal tela e outros não podem. Até ai é fácil a solução default de roles dos SSOs tradicionais do mercado resolvem mas e coisas do tipo:
  • Determinados usuários não podem clicar em um botão de salvar
  • Determinados usuário não podem ver algumas colunas em consultas
  • Um usuário de poderes maiores de pode executar operações sem deslogar o usuário corrente.
  • Determinados usuário podem não ver alguns itens de menu
Então com diversas tecnologias como você faz isso de forma padronizada? Bom você já deve estar pensando que vai ter que ter muito desenvolvimento em casa. Errado! Você pode usar o Spring Security ele já prove muitas dessas soluções. Você só terá que desenvolver um console de administração central se não quiser deixar as configurações nos sistemas em arquivos texto, se não nada precisa desenvolver amigo.

Então você integra o JOSSO ao Spring Security e tudo pronto. Basta escrever um provider de acesso ao JOSSO no Spring Security, você só tem que acessar o WEB-Service do JOSSO nesse provider e converter os objetos do JOSSO para os objetos do Spring Security.

Popular posts from this blog

Kafka Streams with Java 15

Image
Kafka Streams is a Streaming library similar to Spark and Flink which works with Apache Kafka. Kafka stream can be useful to process historical and near-real-time big data workloads but also for non-realtime analytical computations at scale for the online world as well. Kafka-Streams is elastic, highly scalable, fault-tolerant, and fully integrated with Kafka. You can use Kafka Stream with Java, Scala, Kotlin JVM applications and also have exactly-once processing semantics. Kafka-Streams is being used by the New York Times, Pinterest, Line, Trivago, Zalando, and many other companies. Today I want to share a video of Kafka-Streams running with Kafka 2.6 and Java JDK 15. So Let's get started. 
read more »

Rust and Java Interoperability

Image
Rust does not stop for one second to amaze me. It looks like Rust was designed to talk to every other language so easily. No kidding, it's clear way Web Assembly and rust have lots in common. Java is never an easy lang to interop with. Today I will show how easily we can interop Java & Rust. In order to do so, we will need to use the Java and Rust compilers. For Java, we will not require any other lib than the standard JDK. For Rust, we will need to create a lib project in cargo and we will need to use the crate JNI. I love this feature because java does not allow low-level code on the main language. So if we need to do something low level, efficiently Rust is my first choice, not only for safety reasons but because is really fast.  Let's get started.
read more »

HMAC in Java

Image
In 2018 AWS CTO(Vogels) said : "Security is everyone's job". For the last 2 years, there was so many famous and big data leaks and breaks that made that statement be very true more than ever. Security often could mean worst performance and worst user experience so in order to get it right you really need to think about the designs before jumping into to code and consider performance and user experience has main requirements.  I was thinking about writing about how to do HMAC in Java for a while and recently Redis 6.0.0 come out and to my surprise, there was a refactoring on the password part in order to use HMAC.  Security easily could scare engineers often because it is not something well spread yet but I believe this will change soon. It does not matter if you have to deal with PII Data or not, security is super relevant because everybody is running their workloads at the cloud or with IoT and Edge devices which means more distribution, more code, more points of fail
read more »