L’article que j’aurais rêvé d’écrire explique comment tirer parti de la sécurité associée aux données pour votre application JavaEE. Pensez-y un peu :
- Pourquoi, quand vous développez une application, s’interdire de ramener telle ou telle données pour telle catégorie d’utilisateur ?
- Pourquoi s’assurer que vous ne laissez pas l’opportunité à une injection SQL ?
- Pourquoi votre application gère les accès avec attention mais si vous accéder à la base données vous êtes DBA ?
J’avais commencé, il y a un an maintenant, à construire une solution qui permet de lier les utilisateurs de votre LDAP (iPlanet) avec une base de données. La solution en place, l’article ci-dessus explique comment continuer en intégrant la sécurité définie au niveau des données dans votre application JavaEE. D’autre part, Oracle permet de controler les accès par lignes (cf cet autre post) et/ou colonnes grâce à VPD. « Label Security » est
Reste une des limites que je citais : en 10g, ça ne marche qu’avec les driver JDBC Type 2 (i.e. JDBC/OCI). Une bonne nouvelle n’allant jamais seule, il est probable qu’11g lève cette restriction (Au moins d’après la doc). Reste donc à tout recommencer avec 11g pour montrer qu’une solution où la sécurité est mise en oeuvre sur tous les composants de l’infrastructure est maintenant mature. Je le note pour un prochain Post !