Discussoes de Programacao e Tecnologia

[Resolvido] JSF com HTTPS

9 respostas
C
Carlos_ds_jar

Boa noite!

galera estou fazendo uma tela de login com JSF e gostaria de usar htts para criptogragar os dados do login alguem poderia me dar uma luz ou um exemplo em código sobre como fazer?

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

9 Respostas

W
webdouglas

Carlos,
é o seguinte… a utilização de https ou melhor dizendo SSL não é feita por implementação do seu sistema.

Voce deve configurar o servidor web para que ele possa disponibilizar as páginas com segurança.
ou seja, se voce deseja q o sistema seja tenha um protocolo de comunicação seguro, voce deve configurar seu servidor web (ex: tomcat) e não na implementação do seu projeto.

de uma estudada sobre a utilização de SSL:
http://pt.wikipedia.org/wiki/Transport_Layer_Security
http://pt.wikipedia.org/wiki/HTTPS

qualquer coisa poste ai

C
Carlos_ds_jar

douglaspaulino:
Carlos,
é o seguinte… a utilização de https ou melhor dizendo SSL não é feita por implementação do seu sistema.

Voce deve configurar o servidor web para que ele possa disponibilizar as páginas com segurança.
ou seja, se voce deseja q o sistema seja tenha um protocolo de comunicação seguro, voce deve configurar seu servidor web (ex: tomcat) e não na implementação do seu projeto.

de uma estudada sobre a utilização de SSL:
http://pt.wikipedia.org/wiki/Transport_Layer_Security
http://pt.wikipedia.org/wiki/HTTPS

qualquer coisa poste ai

Douglas, obrigado pela resposta!

Eu pesquisei e encontrei que eu colocando o seguinte código no meu web.xml serviria

<user-data-constraint>  
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
</user-data-constraint>

Eu o coloquei no fim do documento que está como vc pode ver abaixo, ocorreu um erro no processo de deployment e não funcionou, vc pode me informar se o codigo não funciona ou se eu coloquei ele de maneira errada?

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
    <context-param>
        <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
        <param-value>client</param-value>
    </context-param>
    <context-param>
        <param-name>com.sun.faces.validateXml</param-name>
        <param-value>true</param-value>
    </context-param>
    <context-param>
        <param-name>com.sun.faces.verifyObjects</param-name>
        <param-value>false</param-value>
    </context-param>
    <filter>
        <filter-name>UploadFilter</filter-name>
        <filter-class>com.sun.webui.jsf.util.UploadFilter</filter-class>
        <init-param>
            <description>The maximum allowed upload size in bytes.  If this is set to a negative value, there is no maximum.  The default value is 1000000.</description>
            <param-name>maxSize</param-name>
            <param-value>[telefone removido]</param-value>
        </init-param>
        <init-param>
            <description>The size (in bytes) of an uploaded file which, if it is exceeded, will cause the file to be written directly to disk instead of stored in memory.  Files smaller than or equal to this size will be stored in memory.  The default value is 4096.</description>
            <param-name>sizeThreshold</param-name>
            <param-value>1000000</param-value>
        </init-param>
    </filter>
    <filter>
        <filter-name>ContratanteLogadoFilter</filter-name>
        <filter-class>br.com.filtro.ContratanteLogadoFilter</filter-class>
    </filter>
    <filter>
        <filter-name>ContratanteLogadoFilter2</filter-name>
        <filter-class>br.com.filtro.ContratanteLogadoFilter2</filter-class>
    </filter>
    <filter>
        <filter-name>SecretarioLogadoFilter</filter-name>
        <filter-class>br.com.filtro.SecretarioLogadoFilter</filter-class>
    </filter>
    <filter>
        <filter-name>AdministradorLogadoFilter</filter-name>
        <filter-class>br.com.filtro.AdministradorLogadoFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>AdministradorLogadoFilter</filter-name>
        <url-pattern>/faces/admin/*</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>SecretarioLogadoFilter</filter-name>
        <url-pattern>/faces/secretario/*</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>ContratanteLogadoFilter2</filter-name>
        <url-pattern>/contratante/*</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>ContratanteLogadoFilter</filter-name>
        <url-pattern>/faces/contratante/*</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>UploadFilter</filter-name>
        <servlet-name>Faces Servlet</servlet-name>
    </filter-mapping>
    <servlet>
        <servlet-name>Faces Servlet</servlet-name>
        <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
        <init-param>
            <param-name>javax.faces.LIFECYCLE_ID</param-name>
            <param-value>com.sun.faces.lifecycle.PARTIAL</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet>
        <servlet-name>ExceptionHandlerServlet</servlet-name>
        <servlet-class>com.sun.errorhandler.ExceptionHandler</servlet-class>
        <init-param>
            <param-name>errorHost</param-name>
            <param-value>localhost</param-value>
        </init-param>
        <init-param>
            <param-name>errorPort</param-name>
            <param-value>24444</param-value>
        </init-param>
    </servlet>
    <servlet>
        <servlet-name>ThemeServlet</servlet-name>
        <servlet-class>com.sun.webui.theme.ThemeServlet</servlet-class>
    </servlet>
    <servlet>
        <servlet-name>TesteServlet</servlet-name>
        <servlet-class>br.com.servlets.TesteServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>Faces Servlet</servlet-name>
        <url-pattern>/faces/*</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>ExceptionHandlerServlet</servlet-name>
        <url-pattern>/error/ExceptionHandler</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>ThemeServlet</servlet-name>
        <url-pattern>/theme/*</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>TesteServlet</servlet-name>
        <url-pattern>/TesteServlet</url-pattern>
    </servlet-mapping>
    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
    <welcome-file-list>
        <welcome-file>faces/Login.jsp</welcome-file>
        <welcome-file>index.jsp</welcome-file>
        </welcome-file-list>
    <error-page>
        <exception-type>javax.servlet.ServletException</exception-type>
        <location>/error/ExceptionHandler</location>
    </error-page>
    <error-page>
        <exception-type>java.io.IOException</exception-type>
        <location>/error/ExceptionHandler</location>
    </error-page>
    <error-page>
        <exception-type>javax.faces.FacesException</exception-type>
        <location>/error/ExceptionHandler</location>
    </error-page>
    <error-page>
        <exception-type>com.sun.rave.web.ui.appbase.ApplicationException</exception-type>
        <location>/error/ExceptionHandler</location>
    </error-page>
    <jsp-config>
        <jsp-property-group>
            <url-pattern>*.jspf</url-pattern>
            <is-xml>true</is-xml>
        </jsp-property-group>
        </jsp-config>
        
        <user-data-constraint>  
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
        </user-data-constraint> 
    </web-app>
C
Carlos_ds_jar

Isso que eu encontrei anteriormente não serviu :x

Mas pesquisando em outros topicos encontrei isso:

&lt;security-constraint&gt;
        &lt;web-resource-collection&gt;
            &lt;web-resource-name&gt;SENHA&lt;/web-resource-name&gt;
            &lt;description&gt;Acesso  via HTTPS&lt;/description&gt;
            &lt;url-pattern&gt;/*&lt;/url-pattern&gt;
            &lt;http-method&gt;POST&lt;/http-method&gt;
            &lt;http-method&gt;GET&lt;/http-method&gt;
        &lt;/web-resource-collection&gt;
        &lt;user-data-constraint&gt;
            &lt;description&gt;Usar SSL&lt;/description&gt;
            &lt;transport-guarantee&gt;CONFIDENTIAL&lt;/transport-guarantee&gt;
        &lt;/user-data-constraint&gt;
    &lt;/security-constraint&gt;

Serviu mas está dando como se fosse um exceção de segurança no browser, alguem pode me explicar o que está acontecendo?

W
webdouglas

que tipo de exceção ???

  1. é uma mensagem de se voce confia ou não no site?

  2. mesmo com essa exceção o sistema funciona? ou isso impossibilita o funcionamento.

:smiley: responde ai… e continuaremos

C
Carlos_ds_jar

douglaspaulino:
que tipo de exceção ???

  1. é uma mensagem de se voce confia ou não no site?

  2. mesmo com essa exceção o sistema funciona? ou isso impossibilita o funcionamento.

:smiley: responde ai… e continuaremos

Resposta 1: Sim, o browser pergunta se quero adicionar o meu site como uma exceção de segurança, somente depois de fazê-lo ele me permite prosseguir.

Resposta 2: Sim, depois disso o site funciona perfeitamente, so que agora rodando em cima do protocolo https.

E agora?

W
webdouglas

então ótimo! este é comportamento correto!
Não entendo muito a fundo para poder dar explicações mais detalalhadas, porém la vai!

Isso acontece por voce nao ter um certificado válido. E para obter este tal certificado teria q comprar junto com uma empresa que forneça certificados homologados e certificados (ex:verisign).

Não sei te dizer ao certo se da maneira que esta o seu, o site fica realmente seguro (acredito q fique seguro sim), porém caso voce precise expor este site para a internet vc deve ter um certificado homologado(nao sei se este é o termo correto), pois este tal certificado garante que o site esta mesmo passando por um protocolo seguro e que o seu brownser não irá perguntar se deseja realmente continuar o acesso.

entao caso voce tenha q instalar sua aplicação em servidor de hospedagem, verifique se ele tem suporte SSL(para poder utilizar o HTTPS), e tenho quase certeza q voce teria q pagar um adicional anual para poder instalar este certificado.

espero ter ajudado

C
Carlos_ds_jar

douglaspaulino:
então ótimo! este é comportamento correto!
Não entendo muito a fundo para poder dar explicações mais detalalhadas, porém la vai!

Isso acontece por voce nao ter um certificado válido. E para obter este tal certificado teria q comprar junto com uma empresa que forneça certificados homologados e certificados (ex:verisign).

Não sei te dizer ao certo se da maneira que esta o seu, o site fica realmente seguro (acredito q fique seguro sim), porém caso voce precise expor este site para a internet vc deve ter um certificado homologado(nao sei se este é o termo correto), pois este tal certificado garante que o site esta mesmo passando por um protocolo seguro e que o seu brownser não irá perguntar se deseja realmente continuar o acesso.

entao caso voce tenha q instalar sua aplicação em servidor de hospedagem, verifique se ele tem suporte SSL(para poder utilizar o HTTPS), e tenho quase certeza q voce teria q pagar um adicional anual para poder instalar este certificado.

espero ter ajudado

Grato pelas dicas 8)

Porem tenho mais uma duvida, como ou onde eu poderia homologar o meu certificado?

W
webdouglas

não sei te responder exatamente, mas por exemplo… veja como configurar um certificado no tomcat (http://www.guj.com.br/posts/list/29710.java).
veja que no exemplo é utilizado uma ferramente para gerar um certificado, mas se voce fizer exatamente como esta neste post o seu “problema” continuará.

Oque deve ser feito é comprar este certificado junto à uma empresa certificadora as que conheço são certisign (http://www.certisign.com.br/) e verisign (http://www.verisign.com.br/).

Se voce comprar um serviço de hospedagem, geralmente, o suporte instala/configura isso para voce. O que acontece com muitas empresas de hospedagem é que eles utilizam certificados compartilhados e não homologados(questao de custo), caso queira um certificado homologado verifique junto à empresa de hospedagem o custo de instalacao.

rsrsrs nao sei se tirei a dúvida. vai perguntando ai heheheh
falows

C
Carlos_ds_jar

ok, resolvido!

Criado 27 de julho de 2010
Ultima resposta 27 de ago. de 2010
Respostas 9
Participantes 2

Topicos relacionados

diferença entre redirect e forward 4 respostas Desmistificando o java.lang.OutOfMemoryError: PermGen space 19 respostas IReport + JSF 22 respostas Combos Aninhados usando JSF e JSP - Como Recuperar um Objeto? 75 respostas Salvar arquivos jsf 4 respostas
Alura POO: o que é programação orientada a objetos? Aprenda os conceitos básicos da programação orientada a objetos, como classes, objetos, herança, encapsulamento e polimorfismo, com exemplos.
Casa do Codigo JavaScript Assertivo: Testes e qualidade de codigo em... Por Gabriel Ramos — Casa do Codigo