Discussion :

[tchize_]

Bonjour,

J'utilise CXFServlet + Spring pour exposer un WebService de type POJO.

Je cherche maintenant comment je peux configurer des restrictions au niveau de certaines méthodes, à des parties "trustées". Je n'ai pas de contraintes particulières hormis le fait que ces méthodes ne doivent pouvoir être appelées que par certaines de nos applications.

Quelqu'un pourrait me mettre sur la voie? L'idéal serait un @LimitToRoles à mettre sur la méthode mais, je ne sais pas trop pourquoi, j'ai dans l'idée que ça ne dois pas être aussi simple


Merci d'avance.

[rockley]

Je sais pas si c'est vraiment ce que tu cherche, car je m'inspire directement de ce que je connais et qu'au départ c'est pas fait pour. Pour sécuriser les échanger, en phase de test on a utilisé les IP (en prod on utilise les certifs).
Les clients avec tel IP avaient le droit d'utiliser le WS et pas d'autre.


Si tu connais par avance l'IP est "membres privilégier", tu le récupère et tu leurs donne les droits.

[tchize_]

En fait, je cherchais quelque chose de simple à mettre en œuvre, et récupérer les IP ça complique un peu beaucoup le code du WebService, puisque celui-ci est un pur POJO qui recoit des paramètres et retourne des valeurs.

Pour le moment, on a opté pour Spring-Security, avec authentification basique et annotation de certaines méthodes du WebService pour exiger un rôle précis.

Je suis juste un peu coincé car du coup je dois forcer le login sur tout le WebService. Je n'arrive pas à faire comprendre à Spring Security que si on ne sais pas rentrer dans la méthode, il faut pas envoyer la réponse SOAP HTTP 500 de CXF (Access Denied) mais la remplacer par une réponse HTTP 401...

[Laurent.B]

Bonjour,

T'es sûr qu'il n'y a pas un problème avec l'erreur HTTP 500 car celle-ci correspond à une erreur "Internal Server Error" et non pas un accès non autorisé, dont le code est 403... (si toutefois ça pouvait changer ton problème).

[tchize_]

Ben justement

j'aimerais que spring security renvoie le 403.

Pour le moment il se passe ça

spring security filter -> servlet cxf -> invocation methode addX sur l'implementation du web service -> vérification par spring security -> AccessDeniedException
Et ça remonte jusque CXF qui génère du coup un soap avec http code 500 access denied.

Mais du coup comme l'exception ne remonte pas plus haut (security filter) spring security n'envoie pas le 403

[Laurent.B]

Je ne suis pas sûr que tu aies compris ce que j'ai voulu dire...
Normalement une erreur

http code 500 access denied

ça n'existe pas. Soit tu as une erreur 500 Internal Server Error, soit tu as une erreur 403 Access Denied mais pas un mix des deux ! Ou alors, si c'est le cas, c'est justement parce qu'il y a un problème qui t'empêche de savoir quelle est la vraie nature de l'erreur (ça peut très bien être un NullPointerException quelque part). Bon, cela dit, ne connaissant pas Spring Security, c'est peut-être parfaitement logique mais c'est tout de même bizarre d'avoir HTTP 500 avec Access Denied...