Programme du cours

3 jours (21 H) | JAVA-JEERenseignez-vousCette formation vous intéresse ? 
 

Objectifs

Présentation des concepts liés à la sécurité
Sécurité de la machine virtuelle Java
Java Authentication and Authorization Service
SSL avec Java
La sécurité d’une application JEE
La sécurité des services Web

Participants / Pré-requis

Développeurs et chefs de projets amenés à sécuriser des applications Java

Très bonnes connaissances du langage Java. Bonnes connaissances des concepts JEE. Expérience requise en programmation Java.

Contenu

Présentation des concepts liés à la sécurité

  • Identification et méthodes d’authentification.
  • Autorisations et permissions.
  • Confidentialité, non-répudiation, cryptage symétrique/asymétrique, clés publiques/privées,autorités de certification.
  • Pare-feu et zone démilitarisée, rupture de protocole.
  • Les différents types d’attaques

Sécurité de la machine virtuelle Java

  • Le chargement des classes par un ClassLoader. ClassLoaders spécifiques. Concept de  » bac à sable « .
  • Le SecurityManager, l’AccessController et la définition des permissions avec les fichiers .policy.
  • Créer ses propres permissions à l’aide de la Java Security Permission.
  • Les mécanismes de protection de l’intégrité du bytecode, la décompilation et l’obfuscation du code.
  • Les spécificités des Applets en matière de sécurité.

Java Authentication and Authorization Service

  • L’architecture de JAAS.
  • L’authentification via le PAM (Pluggable Authentification Modules), notion de Subject et de Principal.
  • La gestion des permissions et les fichiers .policy.
  • Utiliser JAAS avec Unix ou Windows, JNDI, Kerberos et Keystore. Le support du Single Sign On.

SSL avec Java

  • Fonctions de Java Secure Socket Extension (JSSE).
  • L’authentification via certificats X.509. TLS et SSL.
  • L’encryption à base de clés publiques, Java Cryptography Extension (JCE).

La sécurité d’une application JEE

  • Authentification au niveau d’un conteneur Web et d’un conteneur EJB.
  • Rôles applicatifs, permissions et descripteurs de déploiement XML.
  • Contrôles dynamiques à l’aide des API Servlets et EJB.
  • La sécurité dans les API JEE : JDBC, JNDI, JTA, JMS, JCA.

La sécurité des services Web

  • Sécurité des services Web avec WS-Security. Les implémentations de WS-Security (WSS4j, XWSS…).
 
Cette formation vous intéresse ? Renseignez-vous