<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 05/22/2013 06:54 AM, Anil Saldhana
      wrote:<br>
    </div>
    <blockquote
      cite="mid:816104DB-3871-4B84-B4A3-C395A06BE64F@redhat.com"
      type="cite">
      <meta http-equiv="content-type" content="text/html;
        charset=ISO-8859-1">
      <div><br>
      </div>
      <div><br>
        On May 22, 2013, at 6:34 AM, Shane Bryzak &lt;<a
          moz-do-not-send="true" href="mailto:sbryzak@redhat.com">sbryzak@redhat.com</a>&gt;
        wrote:<br>
        <br>
      </div>
      <blockquote type="cite">
        <div>
          <meta content="text/html; charset=ISO-8859-1"
            http-equiv="Content-Type">
          <div class="moz-cite-prefix">I've spent some time today
            reviewing the RESTEasy reference docs [1] and source code
            [2].&nbsp; Its primary security focus seems to be on OAuth and
            request-signing, which I'm happy to steer clear of for the
            time being and instead concentrate on building a
            JavaScript-based BASIC and DIGEST authentication client.&nbsp; I
            think we still need to start a separate discussion in
            conjunction with Bill for the OAuth topic and where
            PicketLink fits into this, perhaps next week sometime we
            could even have a call or hangout to work out our next
            steps.<br>
            <br>
            Back on topic for PicketLink though, would it be ok Anil if
            we went ahead and renamed the SCIM module to REST, and began
            prototyping the JavaScript client and extended REST services
            there?<br>
          </div>
        </div>
      </blockquote>
      <div><br>
      </div>
      Cool. I think we should aim scim beyond the 2.5 release.</blockquote>
    Also while we are on the REST security topic, I think we will need a
    JAX-RS interceptor to introduce security into the apps.&nbsp; But the
    interceptor is standardized in JAX-RS 2.0 (EE7).&nbsp; For EE6 apps, I
    think we will have to use RESTEasy interceptor (which means a deep
    coupling). <br>
    <blockquote
      cite="mid:816104DB-3871-4B84-B4A3-C395A06BE64F@redhat.com"
      type="cite">
      <div><br>
        <blockquote type="cite">
          <div>
            <div class="moz-cite-prefix"> <br>
              [1]
              <meta http-equiv="content-type" content="text/html;
                charset=ISO-8859-1">
              <a moz-do-not-send="true"
href="http://docs.jboss.org/resteasy/docs/3.0-beta-5/userguide/html_single/index.html#oauth2">http://docs.jboss.org/resteasy/docs/3.0-beta-5/userguide/html_single/index.html#oauth2</a><br>
              [2]
              <meta http-equiv="content-type" content="text/html;
                charset=ISO-8859-1">
              <a moz-do-not-send="true"
                href="https://github.com/resteasy/Resteasy/tree/master/jaxrs/security">https://github.com/resteasy/Resteasy/tree/master/jaxrs/security</a><br>
              <br>
              On 21/05/13 23:27, Anil Saldhana wrote:<br>
            </div>
            <blockquote
              cite="mid:94C26C5D-610E-46A9-8D83-C5DB66BFDDBF@redhat.com"
              type="cite">
              <pre wrap="">Rest module can have scim as well as oauth base. We need to ensure that we do not conflict with RESTEasy as it has many security features.

On May 21, 2013, at 7:56 AM, Pedro Igor Silva <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:psilva@redhat.com">&lt;psilva@redhat.com&gt;</a> wrote:

</pre>
              <blockquote type="cite">
                <pre wrap="">+1.

But regarding the two set of RESTful services, maybe we can have only a SCIM set where the PicketLink additional features can be handled as extensions to the base schema.


----- Original Message -----
From: "Shane Bryzak" <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:sbryzak@redhat.com">&lt;sbryzak@redhat.com&gt;</a>
To: "security-dev &gt;&gt; \<a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:security-dev@lists.jboss.org%5C">"security-dev@lists.jboss.org\"</a>" <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:security-dev@lists.jboss.org">&lt;security-dev@lists.jboss.org&gt;</a>
Sent: Tuesday, May 21, 2013 5:22:06 AM
Subject: [security-dev] PicketLink SCIM Module

I've been reviewing the capabilities of the SCIM module (which are defined by the SCIM specification [1]) and someone correct me if I'm wrong, but it only seems to provide a subset of the features that we support in PicketLink. Specifically missing are authentication, and support for the extended relationship types (basically everything besides group membership). I'm wondering if it might be worth providing a PicketLink REST module instead, which would provide two sets of RESTful services; the first being a SCIM-compliant service, the second being a more proprietary service that exposes all of the capabilities of PicketLink. 

On top of this, I think it would be of huge benefit to provide both Java and JavaScript clients to consume both services. Anil has already implemented a Java-based SCIM client in the SCIM module, but imagine if we provided PicketLink JavaScript scripts that web application developers could drop into their app - this would be a huge development time saver. I'm also thinking that the JavaScript clients should support a variety of authentication mechanisms; BASIC, DIGEST, X509, user/password, OAuth, etc. This is kind of uncharted territory for me (REST-based auth) so any feedback or opinions on this would be appreciated. 

Shane 


[1] <a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://www.simplecloud.info/specs/draft-scim-api-01.html">http://www.simplecloud.info/specs/draft-scim-api-01.html</a> 
 
<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a></pre>
              </blockquote>
            </blockquote>
          </div>
        </blockquote>
      </div>
    </blockquote>
    <br>
  </body>
</html>