<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">I've started moving the permissions
      classes back into the base module however haven't added any tests
      for them yet, they are planned for beta4 though so there shouldn't
      be any impediments as far as I know.<br>
      <br>
      On 23/05/13 00:04, Anil Saldhana wrote:<br>
    </div>
    <blockquote cite="mid:519CD05B.4010305@redhat.com" type="cite">
      <meta http-equiv="content-type" content="text/html;
        charset=ISO-8859-1">
      I need to bring this up again.&nbsp; Are there any impediments to
      securing<br>
      Timo completely using PicketLink 2.5beta4 (soon)?<br>
      <div class="moz-forward-container"><br>
        <br>
        -------- Original Message --------
        <table class="moz-email-headers-table" border="0"
          cellpadding="0" cellspacing="0">
          <tbody>
            <tr>
              <th align="RIGHT" nowrap="nowrap" valign="BASELINE">Subject:

              </th>
              <td>Re: [security-dev] Authorization constructs in
                PicketLink3</td>
            </tr>
            <tr>
              <th align="RIGHT" nowrap="nowrap" valign="BASELINE">Date:
              </th>
              <td>Wed, 08 May 2013 08:26:54 +1000</td>
            </tr>
            <tr>
              <th align="RIGHT" nowrap="nowrap" valign="BASELINE">From:
              </th>
              <td>Shane Bryzak <a moz-do-not-send="true"
                  class="moz-txt-link-rfc2396E"
                  href="mailto:sbryzak@redhat.com">&lt;sbryzak@redhat.com&gt;</a></td>
            </tr>
            <tr>
              <th align="RIGHT" nowrap="nowrap" valign="BASELINE">To: </th>
              <td><a moz-do-not-send="true"
                  class="moz-txt-link-abbreviated"
                  href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a></td>
            </tr>
          </tbody>
        </table>
        <br>
        <br>
        <pre>+1, and we already support this pluggability via the permission resolver 
API.

On 08/05/13 08:23, Anil Saldhana wrote:
&gt; Also I feel we should provide pluggable means for:
&gt; a) IDM based permission model (Shane)
&gt; b) Drools based Rules Open Ended Authorization
&gt; c) XACML based Open Ended Authorization (Anil)
&gt;
&gt;
&gt; On 05/07/2013 04:30 PM, Anil Saldhana wrote:
&gt;&gt; I am supportive of your ideas, Pedro.
&gt;&gt;
&gt;&gt; Unlike authentication, we need to remember that authorization is
&gt;&gt; pretty domain specific. There is no magic bullet for
&gt;&gt; rules/permissions. Ideally, as discussed before we should provide the
&gt;&gt; opportunity to plug in custom authorization schemes.
&gt;&gt;
&gt;&gt; On 05/07/2013 03:12 PM, Pedro Igor Silva wrote:
&gt;&gt;&gt; As I have replied before, maybe the same arguments used to put the
&gt;&gt;&gt; DIGEST/BASIC authc filter into picketlink-api are also valid for the
&gt;&gt;&gt; this filter.
&gt;&gt;&gt;
&gt;&gt;&gt; We also need to think how the configuration would be, because we need
&gt;&gt;&gt; to provide to the filter the URI patterns vs Roles mapping.
&gt;&gt;&gt;
&gt;&gt;&gt; As @pmuir said, the web.xml init-params should be avoided. As an
&gt;&gt;&gt; alternative, we can:
&gt;&gt;&gt;
&gt;&gt;&gt;       - Provide a class like javax.ws.rs.core.Application where users
&gt;&gt;&gt; can override some methods to provide additional security config (we
&gt;&gt;&gt; can use that not only for authorization)
&gt;&gt;&gt;       - Use a @Producer method to return a specific instance with the
&gt;&gt;&gt; authz configuration.
&gt;&gt;&gt;       - Use a @Qualifier (or only some interface) in order to be able
&gt;&gt;&gt; to inject a specific bean that implements an interface with some
&gt;&gt;&gt; methods that can be used to obtain the configuration.
&gt;&gt;&gt;
&gt;&gt;&gt; Makes sense ?
&gt;&gt;&gt;
&gt;&gt;&gt; ----- Original Message -----
&gt;&gt;&gt; From: "Anil Saldhana" <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a>
&gt;&gt;&gt; To: <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt;&gt;&gt; Sent: Tuesday, May 7, 2013 4:40:50 PM
&gt;&gt;&gt; Subject: Re: [security-dev] Authorization constructs in PicketLink3
&gt;&gt;&gt;
&gt;&gt;&gt; Any objections to adding the access control filters to the core module?
&gt;&gt;&gt;
&gt;&gt;&gt; On 05/02/2013 11:38 AM, Anil Saldhana wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt; That is fine.  Timo should be secured with PicketLink Core alone. Right
&gt;&gt;&gt; now, authz classes are the missing bits.
&gt;&gt;&gt;
&gt;&gt;&gt; On 05/02/2013 10:56 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;&gt; I remember Shane saying that he is going to take a look at the
&gt;&gt;&gt;&gt; permissions api, mainly after the latest changes to the idm/core
&gt;&gt;&gt;&gt; apis. &gt; &gt; I can start looking at that too, if necessary. Maybe
&gt;&gt;&gt;&gt; providing some test cases to see the gaps (also provide some tests
&gt;&gt;&gt;&gt; for the authentication stuff). &gt; &gt; ----- Original Message ----- &gt;
&gt;&gt;&gt;&gt; From: "Anil Saldhana" <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt; To:
&gt;&gt;&gt;&gt; <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a> &gt; Sent: Thursday, May 2, 2013 12:31:26
&gt;&gt;&gt;&gt; PM &gt; Subject: Re: [security-dev] Authorization constructs in
&gt;&gt;&gt;&gt; PicketLink3 &gt; &gt; Right Pete - I do mention in the thread. I was
&gt;&gt;&gt;&gt; referring to users &gt; wanting alternative authorization mechanisms
&gt;&gt;&gt;&gt; such as &gt; that driven by Drools (as in Seam2) and maybe XACML. :)
&gt;&gt;&gt;&gt; Ideally, the &gt; default authz mechanism by the rbac filter &gt; should
&gt;&gt;&gt;&gt; be the permissions module. &gt; &gt; On 05/02/2013 10:24 AM, Pete Muir wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt; Isn't this what the permissions module is for (API/SPI for
&gt;&gt;&gt;&gt;&gt; authorisation)? I know it's not finished, but I think we have time
&gt;&gt;&gt;&gt;&gt; to do that for 3.0&#8230; &gt;&gt; &gt;&gt; We then add things like the RBAC filter
&gt;&gt;&gt;&gt;&gt; delegating to it. &gt;&gt; &gt;&gt; On 2 May 2013, at 16:21, Anil Saldhana
&gt;&gt;&gt;&gt;&gt; <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> wrote: &gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt; That is what I meant by pluggable. But we need to be aware of &gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt; dependencies getting pulled into core. We &gt;&gt;&gt; do not want a
&gt;&gt;&gt;&gt;&gt;&gt; dependency on drools, for example, to use core. If users &gt;&gt;&gt; want
&gt;&gt;&gt;&gt;&gt;&gt; some particular authz stuff, &gt;&gt;&gt; they should be able to pull in
&gt;&gt;&gt;&gt;&gt;&gt; those dependencies. &gt;&gt;&gt; &gt;&gt;&gt; I do not know yet how to get that
&gt;&gt;&gt;&gt;&gt;&gt; done. ;) &gt;&gt;&gt; &gt;&gt;&gt; On 05/02/2013 09:54 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Maybe something we started with PicketBox, using Drools for
&gt;&gt;&gt;&gt;&gt;&gt;&gt; rule-based authz, pluggable authz managers, etc. &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt; JBoss
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Seam 2 also supports Drools for authorization .... &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message ----- &gt;&gt;&gt;&gt; From: "Anil Saldhana"
&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt;&gt;&gt;&gt; To: <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sent: Thursday, May 2, 2013 11:38:40 AM &gt;&gt;&gt;&gt; Subject: Re:
&gt;&gt;&gt;&gt;&gt;&gt;&gt; [security-dev] Authorization constructs in PicketLink3 &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; We have to remember the permission model work using IDM. &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; I wonder if this filter can use pluggable authorization
&gt;&gt;&gt;&gt;&gt;&gt;&gt; mechanisms, then &gt;&gt;&gt;&gt; maybe the perfect start. &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt; On
&gt;&gt;&gt;&gt;&gt;&gt;&gt; 05/02/2013 09:36 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; I was looking at the
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; org.picketlink.authentication.web.AuthenticationFilter. This
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; class resides on core-api and we did it given some input from AG
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; for DIGEST and BASIC authentication. &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Wondering if
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; the authz filter we did for TIMO does not fit in the same case.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message ----- &gt;&gt;&gt;&gt;&gt; From: "Anil
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Saldhana" <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt;&gt;&gt;&gt;&gt; To:
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a> &gt;&gt;&gt;&gt;&gt; Sent: Tuesday, April 30, 2013
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 11:42:25 AM &gt;&gt;&gt;&gt;&gt; Subject: [security-dev] Authorization
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; constructs in PicketLink3 &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Shane/Pedro - we should
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; start discussing the constructs for &gt;&gt;&gt;&gt;&gt; authorization in PL3.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; We have a few options on the table. We need to &gt;&gt;&gt;&gt;&gt; figure out
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; what we need such that for PL3 users, we have some options.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Lets use this thread to figure out the various
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; options/strategies. &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;
&gt; _______________________________________________
&gt; security-dev mailing list
&gt; <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt; <a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a>

_______________________________________________
security-dev mailing list
<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
<a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a></pre>
        <br>
        <br>
      </div>
      <br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
security-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a></pre>
    </blockquote>
    <br>
  </body>
</html>