Laboratorio di Sistemi Autenticazione utente mediante MySQL Jsp [Java]

Transcript

1 Per la comprensione del presente articolo, occorre aver assimilato i concetti esposti nell'articolo Prototipo autenticazione utente (file autenticazione_2.pdf). (Tratto da Wikipedia, l'enciclopedia libera) Funzione MD5 L'MD5 (acronimo di Message Digest algorithm 5) è un algoritmo per la crittografia dei dati a senso unico realizzato da Ronald Rivest (nella foto) nel 1991 e standardizzato con la RFC Questo tipo di codifica prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (ovvero con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input) che può essere usata per calcolare la firma digitale dell'input. La codifica avviene molto velocemente e si presuppone che l'output (noto anche come "MD5 Checksum" o "MD5 Hash") restituito sia univoco (ovvero si ritiene che sia impossibile, o meglio, che sia altamente improbabile ottenere con due diverse stringhe in input una stessa firma digitale in output) e che non ci sia possibilità, se non per tentativi, di risalire alla stringa di input partendo dalla stringa di output (la gamma di possibili valori in output è pari a 16 alla 32esima potenza). Applicazione pratica dell'md5 La crittografia tramite algoritmo MD5 viene applicata in tutti i settori dell'informatica che lavorano con il supporto delle firme digitali o che comunque trattano dati sensibili. Ad esempio, viene utilizzata per controllare che uno scambio di dati sia avvenuto senza perdite, semplicemente attraverso il confronto della stringa prodotta dal file inviato con quella prodotta dal file ricevuto. Con lo stesso metodo si può verificare se il contenuto di un file è cambiato (funzione utilizzata dai motori di ricerca per capire se una pagina deve essere nuovamente indicizzata). È diffuso anche come supporto per l'autenticazione degli utenti attraverso i linguaggi di scripting Web server-side (PHP in particolare): durante la registrazione di un utente su un portale internet, la password scelta durante il processo verrà codificata tramite MD5 e la sua firma digitale verrà memorizzata nel database (o in qualsivoglia contenitore di dati). autenticazione_3.pdf Pag. 1/17 Cozzetto

2 Successivamente, durante il login la password immessa dall'utente subirà lo stesso trattamento e verrà confrontata con la copia in possesso del server, per avere la certezza dell'autenticità del login. (Fine testo tratto da Wikipedia) Esempio con Php E' facilissimo costruire un piccolo esempio di utilizzo della funzione md5 in Php (md5 è una funzione built-in del linguaggio). File md5.php <?php?> $a="pippo"; echo ($a."=".md5($a)); Collochiamo la pagina nella cartella htdocs di Xampp e digitiamo la url nel browser Otteniamo una sequenza di 32 valori esadecimali come previsto dalla definizione vista precedentemente. Esempio con Jsp In java, le cose sono leggermente più complesse. Scriviamo, come avviene normalmente con una qualsiasi applicazione java, prima di tutto una classe (che chiameremo MD5) e dotiamo questa classe di un metodo statico che chiameremo md5 (in minuscolo). Il metodo accetta come parametro di input una stringa e restituisce in output una nuova stringa che rappresenta l'impronta della stringa iniziale, in accordo autenticazione_3.pdf Pag. 2/17 Cozzetto

3 con la definizione. /* * MD5.java package it.itiscastelli.classi; import java.security.messagedigest; import java.security.nosuchalgorithmexception; * maurizio public class MD5 { public MD5() { public static String md5(string message) throws NoSuchAlgorithmException { // utilizziamo la classe MessageDigest del package java.security MessageDigest md; try { // getinstance vuole come argomento la costante MD5 che rappresenta // l'algoritmo md5 md = MessageDigest.getInstance("MD5"); catch (NoSuchAlgorithmException ex) { throw new NoSuchAlgorithmException("Errore. Non esiste un tale algoritmo."); // stringbuffer di appoggio StringBuffer sb = new StringBuffer(); // il metodo digest vuole come argomento un array di byte e restituisce un array // di byte byte[] messdig5 = md.digest(message.getbytes()); // trasformiamo l'array di byte in una stringa for( int i = 0 ; i < messdig5.length ; i++ ) { String tmpstr = "0"+Integer.toHexString( (0xff & messdig5[i])); sb.append(tmpstr.substring(tmpstr.length()-2)); // restituiamo la stringa ottenuta da sb return sb.tostring(); // fine metodo md5 // fine classe MD5 autenticazione_3.pdf Pag. 3/17 Cozzetto

4 Poi progettiamo una piccola web application (MD5WebApp) con la quale testare il metodo appena descritto. File index.jsp import="it.itiscastelli.classi.*" %> contenttype="text/html" pageencoding="iso "%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=iso "> <title>prova MD5</title> <style> body, td, tr { font-family: Verdana, Arial, "Trebuchet MS"; font-size: 13px; </style> </head> <body> <h3>hello MD5!</h3> <% String messaggio = "pippo"; out.println( messaggio + "=" + MD5.md5(messaggio) ); %> </body> </html> autenticazione_3.pdf Pag. 4/17 Cozzetto

5 Come si può facilmente vedere, la stringa ottenuta è esattamente la stessa rispetto a quella ottenuta mediante Php. Database MySQL users_db Prepariamo ora un database MySQL users_db e la tabella users_tbl con la seguente struttura: Il campo id rappresenta la chiave primaria della nostra tabella (di tipo autoincrement). Il campo password riceverà le password criptate degli utenti mediante il metodo md5 come spiegato precedentemente. Per gestire più facilmente l'inserimento dei dati, utilizziamo il noto applicativo PhpMyAdmin che è dotato di una comoda interfaccia web. Prepariamo alcuni dati di prova sfruttando uno dei due applicativi (quello in Php o quello in Jsp) descritti precedentemente. La web application PasswordDBWebApp Il nostro sistema di autenticazione utente è costituito da 3 classi (Utente, DAO e MD5) e 3 ulteriori pagine web (in aggiunta a index.jsp), login.jsp, riservata.jsp, logout.jsp. NetBeans 5.5 Ricordatevi di scaricare i driver di MySQL se usate una versione meno recente della 6.1 di NetBeans. Se invece usate NetBeans 6.1 o NetBeans 6.5, allora i driver sono già inclusi in NetBeans e potete facilmente aggiungerli al progetto (tasto destro del mouse sul progetto > Proprietà > Librerie > MySQL Driver). Per coloro che disponessero invece di NetBeans 5.5, ecco la corretta procedura per aggiungere i driver java (noti come MySQL Connector/JDBC): dal link (oppure dal sito della Sun visto che l'azienda che produce MySQL è stata appena acquisita da Sun MicroSystem) scarichiamo il file.tar.gz o il file.zip, poi estraiamo solo il file mysql-connector-java bin.jar e copiamolo ora nella cartella lib (apriamo la cartella web, poi andiamo in WEB-INF e creiamo la cartella lib all'interno). E' tutto. autenticazione_3.pdf Pag. 5/17 Cozzetto

6 Ecco ora il codice del nostro applicativo: /* * DAO.java package it.itiscastelli.classi; import java.sql.connection; import java.sql.date; import java.sql.drivermanager; import java.sql.resultset; import java.sql.sqlexception; import java.sql.statement; import java.util.gregoriancalendar; * maurizio public class DAO implements java.io.serializable { private Connection conn; public DAO() throws ClassNotFoundException, SQLException { // // chiusura della connessione public void closeconn() throws SQLException { getconn().close(); // fine metodo closeconn() // caricamento dei driver e apertura della connessione al database public void openconn() throws ClassNotFoundException, SQLException { Class.forName("com.mysql.jdbc.Driver"); System.out.println("Driver caricati."); setconn(drivermanager.getconnection("jdbc:mysql://localhost:3306/users_db? user=root&password=")); System.out.println("Connessione stabilita."); // fine metodo openconn() public Utente cercautente(string username, String password) throws Exception, SQLException { Statement st = null; ResultSet rs = null; if (username.equals("") && password.equals("")) throw new Exception("Attenzione! Non puoi lasciare username e password vuoti."); autenticazione_3.pdf Pag. 6/17 Cozzetto

7 if (username.equals("")) throw new Exception("Attenzione! Non puoi lasciare il campo username vuoto."); if (password.equals("")) throw new Exception("Attenzione! Non puoi lasciare il campo password vuoto."); try { String sql="select * FROM users_tbl WHERE username='"+username+"' AND password='"+it.itiscastelli.classi.md5.md5(password)+"'"; st=conn.createstatement(); rs = st.executequery(sql); if (!rs.next()) { // record non trovato rs.close(); st.close(); //conn.close(); return null; else { // record individuato it.itiscastelli.classi.utente v = new it.itiscastelli.classi.utente(); v.setusername(rs.getstring("username")); v.setluogodinascita(rs.getstring("luogo_di_nascita")); Date datanascita = rs.getdate("data_di_nascita"); // trasformo la data di MySQL in un oggetto // di tipo GregorianCalendar GregorianCalendar data = new GregorianCalendar(); data.settime(datanascita); // imposto l'attributo data dell'oggetto v v.setdatadinascita(data); rs.close(); st.close(); //conn.close(); return v; // end if catch (SQLException e) { throw new SQLException("Impossibile eseguire la query o chiudere la connessione."); // fine try-catch // fine metodo autenticazione_3.pdf Pag. 7/17 Cozzetto

8 the conn public Connection getconn() { return conn; conn the conn to set public void setconn(connection conn) { this.conn = conn; // fine classe DAO /* * Utente.java package it.itiscastelli.classi; import java.util.gregoriancalendar; * maurizio public class Utente implements java.io.serializable { private int id; private String username; private String password; private String luogodinascita; private GregorianCalendar datadinascita; Creates a new instance of Utente public Utente() { // public Utente(String username, String password) { this.username=username; this.password=password; autenticazione_3.pdf Pag. 8/17 Cozzetto

9 the id public int getid() { return id; id the id to set public void setid(int id) { this.id = id; the username public String getusername() { return username; username the username to set public void setusername(string username) { this.username = username; the password public String getpassword() { return password; password the password to set public void setpassword(string password) { this.password = password; the luogodinascita public String getluogodinascita() { return luogodinascita; autenticazione_3.pdf Pag. 9/17 Cozzetto

10 luogodinascita the luogodinascita to set public void setluogodinascita(string luogodinascita) { this.luogodinascita = luogodinascita; the datadinascita public GregorianCalendar getdatadinascita() { return datadinascita; datadinascita the datadinascita to set public void setdatadinascita(gregoriancalendar datadinascita) { this.datadinascita = datadinascita; // fine classe Utente Riportiamo qui invece di seguito le pagine web: File index.jsp <%@page import="it.itiscastelli.classi.*" %> <%@page contenttype="text/html" pageencoding="iso "%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=iso "> <title>prova MD5</title> <style> body, td, tr { font-family: Verdana, Arial, "Trebuchet MS"; font-size: 13px; </style> </head> <body> <h3>hello MD5!</h3> <% String messaggio = "pippo"; out.println( messaggio + "=" + MD5.md5(messaggio) ); %> </body></html> autenticazione_3.pdf Pag. 10/17 Cozzetto

11 File login.jsp contenttype="text/html" pageencoding="iso "%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=iso "> <title>pagina di login</title> <style> body, td, tr { font-family: Verdana, Arial, "Trebuchet MS"; font-size: 13px; </style> </head> <body> <h3>login utente</h3> <% // visualizza l'id di sessione per scopi di debugging out.println("<p>session ID: "+session.getid()+"</p>"); if (session.getattribute("utente")!=null) response.sendredirect("riservata.jsp"); %> <form name="provafrm" action="${request.requesturi" method="post" > <p>username <input type="text" name="usernametxt" value="$ {param.usernametxt" /><br/> Password <input type="password" name="passwordtxt" value="$ {param.passwordtxt" /><br/> <input type="submit" name="inviabtn" value="invia"/></p> </form> <% if (request.getparameter("inviabtn")!=null) { it.itiscastelli.classi.dao dao; try { dao=new it.itiscastelli.classi.dao(); dao.openconn(); catch(exception e) { out.println(e.getmessage()); return; String username = request.getparameter("usernametxt"); String password = request.getparameter("passwordtxt"); it.itiscastelli.classi.utente v=null; autenticazione_3.pdf Pag. 11/17 Cozzetto

12 try { v = dao.cercautente(username, password); catch (Exception e) { dao.closeconn(); out.println(e.getmessage()); return; if (v!=null) { session.setattribute("utente",v); response.sendredirect("riservata.jsp"); else { out.println("accesso non consentito. Per cortesia, riprova a inserire username e password."); response.setheader("refresh","5; login.jsp"); // fine if %> // chiudo la connessione dao.closeconn(); </body> </html> File riservata.jsp <%@page contenttype="text/html"%> <%@page pageencoding="utf-8"%> <%@page import="java.util.gregoriancalendar" %> <%@page import="java.util.calendar" %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>pagina riservata</title> <style> body, td, tr { font-family: Verdana, Arial, "Trebuchet MS"; font-size: 13px; </style> </head> <body> <h3>accesso riservato</h3> <% // visualizza l'id di sessione per scopi di debugging out.println("<p>session ID: "+session.getid()+"</p>"); autenticazione_3.pdf Pag. 12/17 Cozzetto

13 // se l'attributo utente non esiste if (session.getattribute("utente")==null) { out.println("<p>pagina riservata. Non puoi accedere a queste informazioni.</p>"); out.println("<p>tra pochi secondi verrai rediretto verso la home page.</p>"); response.setheader("refresh","5; login.jsp"); else { it.itiscastelli.classi.utente v = (it.itiscastelli.classi.utente) session.getattribute("utente"); out.println("benvenuto "+v.getusername()+". Accesso consentito."); GregorianCalendar d = v.getdatadinascita(); int giorno = d.get(calendar.day_of_month); int mese = d.get(calendar.month)+1; int anno = d.get(calendar.year); String datanascita = giorno+"/"+mese+"/"+anno; out.println("sei nato il "+datanascita+ " a "+v.getluogodinascita()+"."); out.println("<p><a href='logout.jsp'>logout</a></p>"); %> </body> </html> File logout.jsp <%@page contenttype="text/html"%> <%@page pageencoding="utf-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8"> <title>pagina di logout</title> <style> body, td, tr { font-family: Verdana, Arial, "Trebuchet MS"; font-size: 13px; </style> </head> <body> <h3>pagina di logout</h3> <% // visualizza l'id di sessione per scopi di debugging out.println("<p>session ID: "+session.getid()+"</p>"); // se l'attributo della sessione esiste e non è nullo if (session.getattribute("utente")!=null) { it.itiscastelli.classi.utente v = (it.itiscastelli.classi.utente) session.getattribute("utente"); autenticazione_3.pdf Pag. 13/17 Cozzetto

14 out.println("grazie "+v.getusername()+" di aver usato l'applicativo."); session.removeattribute("utente"); session.invalidate(); out.println("<p>tra pochi secondi verrai rediretto verso la home page.</p>"); response.setheader("refresh","5; login.jsp"); else { response.sendredirect("login.jsp"); %> </body></html> Vediamo in azione il nostro applicativo: Fig. 1 Login con username e password errati autenticazione_3.pdf Pag. 14/17 Cozzetto

15 Fig. 2 Messaggio di errore: accesso non consentito Fig. 3 Dati corretti autenticazione_3.pdf Pag. 15/17 Cozzetto

16 Fig. 4 Accesso consentito Fig. 5 Logout dall'applicativo autenticazione_3.pdf Pag. 16/17 Cozzetto

17 Fig. 6 L'ID di sessione è cambiato autenticazione_3.pdf Pag. 17/17 Cozzetto