Fine-Grained Authorization for Java Applications

Jeg (Nikolaj Brinch) havde egentlig besluttet mig for at holde mig væk fra security i år, men jeg havde dog valgt denne for at se om der var noget nyt om security, når nu det var fine grained.

Her var et indlæg som var svært at følge (fra Oracle). Han talte ikke specielt godt engelsk og hans slides var totalt fyldt op med ord, så det var småt og svært at læse.

En af pointerne var at alle policies skal externaliseres og må ikke være i koden (det siger næsten sig selv, men ikke desto mindre er det stadigvæk noget mange gør).

En anden var at man skal implementere sit security system separat, som en separat entity man kan om security relatede spørgsmål.

Det skal være muligt at ændre sit secutity setup uden at reploye sin applikation.

Det virkede som om fyren (fra Oracle) var fra BEA og egentlig bare fortalte om BEAs sikkerhed (igen) og at dette var provided out of the box på deres platform.

Brug AOP (læs: Spring) til security.

Han fortalte om row level security og om automatisk scrambling af data baseret på role eller media. F.eks. substituering af CPR hvis query kom fra iPhone, eller fjernelse af rækker (query rewrite) baseret på role.

Da session var 40 min gammel var over halvdelen gledet, da han bare for dårlig en taler og hans slides var rigtig skidt, men undervejs havde han faktisk nogle brugbare pointer, dog synd at han reklamerede for at dette noget Oracle halløj (er det ikke OpenWorld der er til reklame og mono kultur?). Hele tiden skulle vi huske at sørge for at vores vendor havde support for dit eller dat.

Tilsidst var folk stået af mig selv inklusive… Mest også fordi det hele tiden skulle gøres super komplekst og vi skulle huske at designe for the future og alle de andre anti agile anti-patterns (kan man sige det).

2 klappede til sidst men der var lokalet næsten tomt.