Unter Gamern ist Discord ein schon lange verbreitetes Tool, um sich beim Spielen zu unterhalten. Aber auch außerhalb der Gamer-Community wird Discord immer häufiger genutzt, um sich mit Freunden zu unterhalten oder auch nur um zu Schreiben. Dadurch, dass Discord nicht nur als Client auf dem Computer genutzt werden kann, sondern auch als App für Android und iOS verfügbar ist und über den Browser verwendet werden kann, ist es ohne große Hürden möglich, sich mit anderen Menschen zu verknüpfen.

Irgendwann kommen viele Java-Projekte an den Punkt, an dem sie die schöne Welt von Mikroservices und REST-Schnittstellen verlassen und auf ein Backend-System zugreifen müssen. Wir wollen hier den Zugriff auf SAP betrachten. Besonderes Augenmerk gilt der Konfiguration und dem Build, da diese ein paar Besonderheiten aufweisen.

Konfigurationen für Artefakte von außen zu injecten, ist lang bewährte Praxis und wird in vielen Softwareprojekten so gelebt. Seien es Feature Switches, stage-spezifische Einstellungen oder andere Werte, deren Ausprägungen stetigen Anpassungen unterworfen sein können, alle sollten am Ende gut nachvollziehbar und sicher abgelegt sein. Dabei können verteilte Systeme aber auch bereits einzelne Artefakte im Laufe ihrer Entwicklung eine schwer überschaubare Anzahl von Umgebungsvariablen benötigen. Einige Möglichkeiten, diese Werte zentral zu verwalten, sowie deren Vor- und Nachteile, möchte ich im Folgenden etwas näher betrachten.

Applikationen enthalten häufig Ressourcen, die nur bestimmten Usern zur Verfügung stehen sollen. Management-User administrieren beispielsweise die Informationen ihrer Mitarbeitenden, wohingegen Sales-User die Informationen ihrer Kundinnen und Kunden administrieren. Das erfordert abgeschlossene Bereiche, für die der Zugriff durch Berechtigungen gesteuert wird. Ich möchte euch in diesem Artikel anhand einiger kurzer Beispiele zeigen, wie ihr in Keycloak diese Zugriffsberechtigungen verwaltet und die User-Gruppen zuordnen könnt.

Apaches CXF Framework bietet für die Webservice-Schnittstellenentwicklung entscheidende Vorteile gegenüber den Konkurrenten (z.B. Spring MVC), wenn sowohl Client- als auch Serverseite in eigener Hand liegen. Jedoch steht es sich anfänglich selbst dabei im Weg in deren Genuss zu kommen. In diesem Blogpost wird ein einfaches Beispiel vorgestellt, welches verdeutlichen soll, wie simpel und wartungsfreundlich (interne) Schnittstellen mit CXF im Idealfall umgesetzt werden können. Leider ist die Welt selten ideal, womit bei CXF dann die Unannehmlichkeiten beginnen.

In modernen Softwaresystemen kommt man mittlerweile kaum noch daran vorbei, mit anderen Systemen zu kommunizieren. Je mehr Parteien beteiligt sind, desto mehr Schnittstellen müssen abgestimmt und angebunden werden. Doch wie können wir die korrekte Integration von Schnittstellen zu jeder Zeit sicherstellen? Dazu bietet sich Contract-Driven Development an, welches wir uns mittels Spring Cloud Contract näher anschauen wollen.

In diesem Artikel geht es um automatisierte, in die CI-Pipeline integrierbare Tests, die die gesamte Geschäftslogik eines Monolithen von der obersten Schicht (einem Webservice) bis zur untersten Schicht (der Datenbank) abdecken können. Dieser Artikel richtet sich an Projektleiter, Architekten oder interessierte Entwickler, die sich bei der Entwicklung eines Webservice (oder danach) fragen, wie man diesen dauerhaft testen und qualitätssichern kann.

Passwörter dürfen nicht im Klartext in der Datenbank gespeichert werden, daher hashen wir sie, das weiß jede Entwicklerin und jeder Entwickler. Die Gefahr, dass der Datenbankinhalt und somit auch Passwörter, die evtl. auch anderswo Verwendung finden, abgegriffen werden, ist einfach zu groß. Trotzdem finden sich bei konkreten Umsetzungen häufig Fehler, sodass immer wieder Passwort Leaks öffentlich werden, die auf eine unsachgemäße Speicherung von besagten Passwörtern zurückzuführen sind. Um nicht selbst ein Eintrag in der Reihe der Passwort Leaks zu werden, soll dieser Blogartikel bei der Wahl des sicheren Hashverfahrens unterstützen sowie Hinweise für die richtige Parametrisierung geben. Illustriert werden die Beispiele in Java und Spring-Security.

In der Fortsetzung meines Blog-Beitrags werden wir die Authentifizierung über öffentliche Schlüssel mit dem Apache MINA Framework untersuchen. Ich beginne mit einem Überblick über die für uns relevanten kryptographischen Verfahren und Methoden. Anschließend schauen wir uns die Implementierung der Authentifizierung über öffentliche Schlüssel in einem Prototyp und einem vom Framework abgeleiteten Konzept für die Authentifizierung an.