第7回 J2EEのセキュリティのキホンを知る
――セキュリティの宣言的アプローチ――

丸山不二夫
稚内北星学園大学学長
(http://www.wakhok.ac.jp/)
2001/12/7

 セキュリティの宣言的アプローチ

 今回は、J2EEのセキュリティについて解説します。J2EEのセキュリティと一言でいっても、J2EEはWeb層、EJB層、データベース層、アプリケーション・クライアント層などの複数の層からなる多階層アプリケーションです。J2EEのセキュリティは、基本的にはそうした層ごとに設定されます。

 J2EEの各層では、プログラムを通じてセキュリティの設定を行うことができます。例えばWeb層でなら、HttpServletRequestインターフェイスのgetRemoteUserメソッドやgetUserPrincipalメソッドを利用してセキュリティのためのコードを書くことができますし、EJB層ならgetCallerPrincipalメソッドやisCallerInRoleメソッドが使えます。

 しかし、J2EEの大きな特徴は、このようにプログラムを通じてセキュリティを設定するだけでなく、むしろ、プログラム=コンポーネントには手を付けることなく、コンポーネントのdeploy時に、事後的にセキュリティの設定が可能となっていることです。プログラムを通じてセキュリティを設定する通常の「手続き的」な手法に対して、宣言を通じてコンポーネントにセキュリティ属性を設定する「宣言的」手法は、J2EEのすべての層で一貫して適用されていて、J2EEのセキュリティの大きな特徴を形成しています。

 こうした、セキュリティの宣言的アプローチには次のようなメリットがあります。第1に、各層のコンポーネントの開発者は、コンポーネントの開発時にセキュリティ関係のコードを作らなくて済みます。第2に、J2EEサーバの管理者はコンポーネントのコードに手を入れることなく、環境に応じて柔軟にセキュリティのカスタマイズができます。

 

 セキュリティには「認証」と「権限設定」の2つのレベル

 J2EEのセキュリティは、「認証」と「権限設定」の2つのレベルで考えられています。J2EEの各層のリソースには、自由なアクセスを許してよいものもあればアクセスを制限する必要があるものもあります。権限設定は、特定のユーザーやデバイスに、リソースにアクセスする特別の権限を認めるものです。ですから、「特定のユーザーやデバイス」を同定する認証の過程が、論理的には権限設定の基礎にあることになります。ここでは、まず、J2EEの認証について見て、次いで、J2EEの権限設定について見ていきたいと思います。

 
1/3

J2EEの基礎(第7回)
セキュリティの宣言的アプローチ
  J2EEでの認証
  J2EEでの権限設定

連載内容
J2EEの基礎
  第1回 Java Pet Storeで、J2EEを体験する(1)
  第2回 Java Pet Storeで、J2EEを体験する(2)
 

第3回 J2EEアプリケーションと配置(deployment)

  第4回 J2EEアプリケーションを構成するコンポーネント
  第5回 データベースのブラウザを作る
  第6回 EJBにおけるコンテナとコンポーネント
第7回 J2EEのセキュリティのキホンを知る
  第8回 J2EEのトランザクション処理


連載記事一覧




Java Agile フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Java Agile 記事ランキング

本日 月間