Discussion :

[alouki]

Bonjour @ tous,

J'ai une vision très éclatée et lacunaire de mon pb, et, si je me documente en parallèle, j'ai besoin de prendre des décisions dès demain (boulot), aussi ma question risque sans doute d'être un petit peu "large".

Voici mon pb :

Je travaille sur une application web J2EE sous Tomcat.
Cette application lit des fichiers de ressources qui sont nécessairement situés au dessus de la racine du site, dans un dossier partagé sous NFS.

Au sein de l'application, ces fichiers doivent être lus aussi bien via du javascript (chargement de fichiers XML pour alimenter des plugins d'interface) que du Java (lecture et parsing de fichiers XML).

Afin de rendre disponibles ces ressources, j'ai chargé le dossier NFS dans Tomcat, en ajoutant un Context dans server.xml, et en indiquant simplement :

Path : /leDossierNFS
DocBase : /leDossierNFS


De la sorte, et sans que je m'explique exactement pourquoi , on peut lire un fichier du dossier partagé en utilisant le path de ce nouveau contexte dans du code javascript ou Java.

Il reste que je me pose deux questions :

1) Cette façon de faire est-elle correcte ?

2) Pourrai-je interdire l'accès direct via un navigateur aux fichiers XML ? Avec un htaccess par exemple ?

En espérant avoir été clair, et vous remerciant de m'avoir lu

[alouki]

Je propose une autre première question :

Quelqu'un peut-il me dire si je suis en train de raconter n'imp, ou si mes questions ont du sens ?

[alouki]

Bon je me réponds car j'ai appris deux trois choses utiles, pour ceux que ça pourrait intéresser.

Je reprends mes questions :

1) Cette façon de faire est-elle correcte ?
D'abord je vais dégrossir : Qu'ai-je fait ? J'ai chargé un dossier partagé dans Tomcat, rendant ainsi ses fichiers accessibles via http.

Les codes javascript et Java accèdent à ces ressources via ce protocole.

2) Pourrai-je interdire l'accès direct via un navigateur aux fichiers XML ? Avec un htaccess par exemple ?

Pas de htaccess avec Tomcat, mais si nécessaire une conf dans web.xml pour définir des droits d'accès selon des patterns dossiers/types de fichiers.

Cependant, en limitant l'accès aux ressources par ce biais, les accès opérés via javascript à ces fichiers sont également limités...

Finalement, il semble que je ne puisse pas protéger commodément ces fichiers de ressources contre l'accès direct via un navigateur, puisqu'ils doivent être accessibles via appel HTTP...

[tchize_]

1) c'est tendancieux. Tes ressources font partie de ton application, et ne devraient donc pas être accédées par un autre contexte. Il vaut mieux rajouter à ton application principale un servlet, ressource/* par exemple, et dans le code de cette servlet aller lire et renvoyer les fichiers concernés. Ca limite les opérations de maintenance sur tomcat.

2) effectivement, .htaccess c'est appache httpd. A noter qu'il est courante d'utiliser apache httpd conjointement à un conteneur j2ee. Question de performances.

[alouki]

Merci pour ces informations, tchize_ =)