Discussion :

[ricg]

Je vais me lancer dans ma première application JSF. Je vais devoir gérer plusieurs types d'utilisateurs qui auront des droits différents. Par exemple l'administrateur, mais pas les autres utilisateurs, pourra avoir accès à certaines pages. Il y aura environ 3 ou 4 types/rôles d'utilisateurs.

Avec tous les exemples que j'ai trouvés je ne devrais pas avoir de problème pour la page de login. Mon problème est de savoir quelle est la meilleure solution avec JSF pour protéger les pages contre un accès direct (pour éviter un accès sans passer par la page de login ou par un utilisateur qui n'aurait pas les bons droits).

J'ai vu qu'on pouvait utiliser des filtres de servlet. Est-ce qu'il existe d'autres solutions, et surtout, pouvez-vous me donner des références où je pourrais trouver ces solutions implémentées sur des exemples ?

Merci d'avance pour vos réponses.

[ruda.tom]

L'utilisation des servlet filters me semble tout à fait appropriée ici.

Pour trouver des exemples, ton ami google est là
Avec "servlet filter login", tu peux notamment tomber sur cet article qui me semble répondre à tes besoins :
http://www.developer.com/java/ent/article.php/3467801

[mauvais_karma]

tu peux aussi utiliser la sécurité gérée par le conteneur
tu définit les roles autorisés à accéder à un url dans ton web.xml, la manière dont l'utilisateur fournira les info de login et la manière dont le serveur ira chercher les autorisations
regarde du coté de JAAS

[alexismp]

http://blogs.sun.com/roller/page/ale...filter_for_jsf
Attention, conteneur J2EE 1.4 uniquement.

[diabolo512]

tu peux jeter aussi un coup d'oeil au projet jGuard(www.jguard.net), qui via un servlet filter utilise JAAS(requiert seulement j2ee 1.3 et java 1.4).
la portabilité suivant les servuers d'applications est présente, et la configuration dynamique contrairement à la solution déclarative j2ee exposée dans ce sujet.

jGuard fournit aussi de nombreuses autres fonctionnalités tels une librarie de taglib pour afficher des bouts de pages suivant le profil, la gestion suivant les rôles, l'héritage des rôles, l'authentification BASIC, par formulaire, ou via une authentification cliente par certificats etc....


cordialement,

Charles(jGuard team).

[mehdi_31]

salut diabolo512,

Je decouvre JGuard et pour l'instant je ne lui ai pas encore trouvé de défaut!
sauf peut être dans ce que tu viens de dire :

la portabilité suivant les servuers d'applications est présente, et la configuration dynamique contrairement à la solution déclarative j2ee exposée dans ce sujet.

quand tu dis que la portabilité est "présente" tu veux dire qu'elle est garantie?
comme je n'ai toujours pas accès au wiki du projet je t'embete encore un peu concernant la gestion des permissions sur les actions JGuard est compatible avec JSF en plus Struts?

Voila j'aurai encore des questions a poser parce que je pense qu'il y a un potentiel enorme dans ce projet. merci encore!

[diabolo512]

bonjour,
concernant la portabilité, je veux dire que nous n'avons aucun code spécifique à un serveur d'applications. notre code repose principalement sur les apisde sécurité de java.
concernant le fonctionnement de jGuard sur tous les serveurs d'applications, nous ne l'avons pas testé dans tous les cas.
Mais nous avons eu des retours très positifs concernant Tomcat, Jetty,Jboss, Jonas, Websphere dans une utilisation avancée de jGuard (je ne l'ai pas testé personnellement pour celui-ci), Oracle Application server.

pour le wiki, il y avait effectivement un problème d'accès à celui-ci qui est réglé.

pour jGUard et les JSF/Tapestry ou autre framework web, il faut voir que jGuard propose un filtre de servlet qui contrôle toutes les requêtes http basé sur des URLs (d'autres contrôles custom sont possibles en étnendant permission de java).
comme les jsf sont accédés via des urls, tu peux sécuriser l'accès à une page ou une autre via jGUard.
jGuard permet aussi de sécuriser des bouts de pages via des taglibs. dans le cas des jsf, ce n'est pas la même chose. il faudrait donner accès à des composant dans une page (et non via des taglibs).jguard ne propose pas encore ce mécanisme, mais avec un léger effort, cela est faisable.
reste à prioriser les fonctionnalités: nous privilégions les fonctionnalités les plusdemandées par les utilisateurs, principalement sur le forum de jGuard.

en espérant que mes réponses t'auront éclairé,

Charles.

[mauvais_karma]

les composants tomahawk ont un attribut basé sur le role de l'utilisateur, est suivant ses autorisations, il effectue ou non le rendu.
C'est une solution que le n'ai jamais testé