Discussion :

[ghohm]

Bonjour à toutes et à tous,

J'ai tenté de mettre en place une authentification à l'ensemble de mon application Web (J2EE Struts) grâce au tutoriel suivant :

http://beuss.developpez.com/tutoriel...ormulaire/#LVI


Problème : Je me heurte à ma propre authentification !

Apache Tomcat/5.5.26 - Rapport d'erreurEtat HTTP 403 - L'accès à la ressource demandée a été interdit

type Rapport d'état
message L'accès à la ressource demandée a été interdit
description L'accès à la ressource demandée (L'accès à la ressource demandée a été interdit) a été interdit.
Apache Tomcat/5.5.26



Je vois bien que ça vient du fait des ressources protégées, mais je vois pas comment contourner ce problème.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
        <!-- Liste des ressources protégées -->
        <web-resource-collection>
            <web-resource-name>Ressources protégées</web-resource-name>
            <url-pattern>*.jsp</url-pattern>
            <url-pattern>*.do</url-pattern>
            <http-method>DELETE</http-method>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
            <http-method>PUT</http-method>
        </web-resource-collection>

Merci de m'aider.

Gôm

[Invité]

Salut,

Tu as bien ajouté tout ça dans une <security-constraint> avec une contrainte sur le role ? Tu as bien défini la méthode d'authentification requise (basic ou form ou cert)

Par ce que si tu mets juste une contrainte de sécurité sans role ni méthode d'authentification, la ressource est protégée contre TOUS les accès quels qu'ils soient il me semble, donc en gros tu protège les fichiers auquel l'utilisateur ne doit pas avoir directement accès avec cette méthode.

On pourrait voir tout ce qui définit l'authentifiation dans ton web.xml ?

A plus

[ghohm]

Extrait de mon web.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
    <security-constraint>
        <display-name>Sécurité sous Tomcat</display-name>
 
        <!-- Liste des ressources protégées -->
        <web-resource-collection>
            <web-resource-name>Ressources protégées</web-resource-name>
            <url-pattern>*.jsp</url-pattern>
            <url-pattern>*.do</url-pattern>
            <http-method>DELETE</http-method>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
            <http-method>PUT</http-method>
        </web-resource-collection>
 
        <!-- Rôle(s) des utilisateurs ayant le droit d y accéder -->
        <auth-constraint>
            <role-name>blabla</role-name>
        </auth-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.jsp</form-login-page>
            <form-error-page>/erreur.jsp</form-error-page>
        </form-login-config>
    </login-config>
 
    <!-- Rôles utilisés dans l application -->
    <security-role>
        <description>Utilisateurs de l application BLABLA</description>
        <role-name>blabla</role-name>
    </security-role>

[Invité]

Ok donc ca me parait bien, et tes utilisateurs sont définis où ? Ton utilisateur est bien dans le groupe blabla ?

[ghohm]

Ok donc ca me parait bien, et tes utilisateurs sont définis où ? Ton utilisateur est bien dans le groupe blabla ?

Oui, d'ailleurs je suis sûr que l'authentification fonctionne bien (trop bien !), car je suis bien obligé de saisir un login et mdp valide pour me voir afficher le message d'erreur copié/collé dans mon 1er post de ce thread !

[Invité]

C'est intéressant... Tu as les droits d'accès en lecture sur les fichiers JSP ? Je pense que oui. As tu une erreur dans logs/catalina.out ? ou alors dans logs/localhost.date.log ?

[ghohm]

C'est intéressant... Tu as les droits d'accès en lecture sur les fichiers JSP ? Je pense que oui. As tu une erreur dans logs/catalina.out ? ou alors dans logs/localhost.date.log ?

Absolument rien dans stdout_20090504.log, ni dans stderr_20090504.log, non plus dans localhost.2009-05-04.log et encore moins dans catalina.2009-05-04.log !

[Invité]

Deux mots me viennent à l'esprit : d'oh et rogntudju
Pourrais tu afficher via un filtre (en console par exemple) le résultat de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException, ServletException {
 
        System.out.println(((HttpServletRequest)request).getRemoteUser());
        System.out.println(((HttpServletRequest)request).isUserInRole("blabla"));
 
        filterChain.doFilter(request, response);
 
}

[tchize_]

Oui, d'ailleurs je suis sûr que l'authentification fonctionne bien (trop bien !), car je suis bien obligé de saisir un login et mdp valide pour me voir afficher le message d'erreur copié/collé dans mon 1er post de ce thread !

Ca prouve que t'es authentifié correctement le message d'erreur (sinon tu aurais eu un 401 authentification required ou éventuellement un 5xx internal server error en cas de problème).

Mais le message dit aussi que t'as pas les droit, donc l'utilisateur en question n'est pas dans le rol blabla. Comment as-tu configuré les roles sur ton tomcat?

[ghohm]

Oups ...

Faute de frappe dans le nom de mon rôle dans le "tomcat-users.xml" !!!

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager"/>
  <role rolename="appli1"/>
  <role rolename="admin"/>
  <role rolename="appli2"/>
  <user username="admin" password="mdp1" roles="admin,manager,appli1,appli2"/>
  <user username="utilisateur" password="mdp2" roles="appli1, applii2"/>
</tomcat-users>

Merci pour tout !