IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Tomcat et TomEE Java Discussion :

Tomcat realm et session attributes


Sujet :

Tomcat et TomEE Java

  1. #1
    Candidat au Club
    Homme Profil pro
    Développeur
    Inscrit en
    Novembre 2014
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Novembre 2014
    Messages : 5
    Points : 4
    Points
    4
    Par défaut Tomcat realm et session attributes
    Bonsoir ,

    Je développe actuellement une application en J2E qui utilise Struts 2 et tomcat v6

    J'ai une page de login ou l'utilisateur saisira son mot de passe en utilisant un clavier virtuel (que j'ai crée au préalable).

    Avant de faire apparaître le clavier, j'ai une action Struts qui va générer un affichage aléatoire des caractères sur le clavier. Cette action encode également les caractères pour des raisons de sécurité, et enregistre les informations en session.

    L'authentification est faite pour le moment avec un Realm JDBC avec tomcat

    Je souhaite donc pouvoir décoder le mot de passe utilisateur avant l'authentification. Pour cela j'ai tout d'abord essayé d'utiliser les filtres avec pour url-pattern "j_security_check". Mais après tests et renseignements, je me suis aperçu que cela n'était pas possible.

    J'ai également essayé de récupérer la session depuis le realm en utilisant la méthode ServletActionContext.getRequest(), sans plus de succès car j'obtiens un null pointer exception.

    Est-il possible d'obtenir le code stocké en session précédemment depuis le realm ?

    Si non, une autre solution existe-t-elle ? car je n'ai rien trouvé pour m'aider à faire cela autrement.

    Merci d'avance.

  2. #2
    Expert confirmé
    Profil pro
    Inscrit en
    Août 2006
    Messages
    3 274
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 3 274
    Points : 4 166
    Points
    4 166
    Par défaut
    Au lieu de pointer vers j_security_check, tu pourrais pointer vers une action standard et appeler la méthode login de Servlet pour utiliser l'authentification JEE, une fois ton mot de passe décodé.

  3. #3
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    j'ai du mal à comprendre en quoi cliquer, lentement, sur un clavier virtuel à l'écran, que tout le monde derrière toi peux voir à 20m est plus sécurisé que de tapper le mot de passer sur un clavier physique....

  4. #4
    Candidat au Club
    Homme Profil pro
    Développeur
    Inscrit en
    Novembre 2014
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Novembre 2014
    Messages : 5
    Points : 4
    Points
    4
    Par défaut
    Merci de vos réponses,

    L'action servlet n'est pas envisageable car cela implique de ne plus utiliser les realm.
    J'utilise le Realm JDBC pour l'authentification utilisateur, cependant j'utilise également un realm LDAP pour les utilisateurs interne de l'entreprise.
    Si j'implémente une action servlet pour l'authentification, je devrais faire la gestion de session et des rôles "à la main" et refaire également l'authentification LDAP, ce qui me semble assez lourd.

    L'objectif du clavier étant d'éviter les logiciels de type keylogger ou autre ainsi que d'avoir une requête en clair avec le mot de passe. Après en effet cela n'empêchera pas en effet que quelqu'un le voit par derrière mais là c'est la responsabilité de l'utilisateur et plus de l'application.

  5. #5
    Expert confirmé
    Profil pro
    Inscrit en
    Août 2006
    Messages
    3 274
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 3 274
    Points : 4 166
    Points
    4 166
    Par défaut
    Je pense que tu n'as pas bien compris ce que je te propose, la méthode login de la classe HttpServletRequest permet justement d'appeler l'authentification par REALM:
    https://docs.oracle.com/javaee/6/api...a.lang.String)

    Mais tu pourrais l'appeler de ton action Struts après avoir décodé ton mot de passe, au lieu de faire un appel direct à partir de ta vue.

  6. #6
    Candidat au Club
    Homme Profil pro
    Développeur
    Inscrit en
    Novembre 2014
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Novembre 2014
    Messages : 5
    Points : 4
    Points
    4
    Par défaut
    Exact, je n'avais pas bien compris la solution, je regarde ça merci de la réponse rapide

  7. #7
    Candidat au Club
    Homme Profil pro
    Développeur
    Inscrit en
    Novembre 2014
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Novembre 2014
    Messages : 5
    Points : 4
    Points
    4
    Par défaut
    Bon après avoir migré pour la version 7 de tomcat, j'ai pu utiliser la méthode login et parvenir à finir mon système de connexion.
    J'ai juste rencontré un problème qui est que si l'utilisateur ne possède pas un compte LDAP, l'authentification échoue et ne teste pas le realm JDBC.
    J'ai donc inversé l'ordre des deux pour que la méthode le teste en premier et maintenant tout marche niquel.

    Merci beaucoup pour l'aide.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [Tomcat]échange de session entre php et java
    Par benwa dans le forum Tomcat et TomEE
    Réponses: 18
    Dernier message: 05/06/2007, 18h01
  2. [ TOMCAT ] récupérer une session PHP
    Par greatmaster1971 dans le forum Tomcat et TomEE
    Réponses: 5
    Dernier message: 20/01/2006, 13h10
  3. [tomcat] gestion des sessions
    Par sebos63 dans le forum Tomcat et TomEE
    Réponses: 2
    Dernier message: 12/10/2004, 15h25
  4. [Tomcat]persistence de session Tomcat
    Par coilolo dans le forum Tomcat et TomEE
    Réponses: 2
    Dernier message: 22/06/2004, 10h47
  5. [Tomcat][Realm] utilisation du JDBCREALM
    Par shinchun dans le forum Tomcat et TomEE
    Réponses: 3
    Dernier message: 25/05/2004, 14h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo