Discussion :

[thierryler]

Bonjour à tous,

J'ai une question qui concerne Spring Security et plus particulièrement les Populator.

Dans mon site, j'ai un paramètre, issu d'un select (ou qui prend une valeur par défaut si non settée), qu'on appellera "monparam" dans la suite.

Je vais chercher les rôles de mon utilisateur en fonction de "monparam". Par exemple, l'utilisateur "jean dupont" possède les rôles USER et ADMIN quand "monparam" vaut "42" et seulement le rôle USER quand "monparam" vaut "23". Evidemment "42" et "23", ainsi que les rôles associés, sont enregistrés en base et correspondent à mon métier.

En gros mon Populator ressemble à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
public class MonPopulator implements LdapAuthoritiesPopulator {
 
  @Override
  public final Collection<? extends GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) {
    final String monparam = chargerQuelquePart(...);
    final List<RoleEnum> roles = chargerEnBase(username, monparam);
  }
 
  ...

De là, je me pose deux questions :

1) Quelle est la bonne pratique, pour avoir "monparam" de dispo ici ?
2) Quand je change de valeur dans le select, ça renvoie sur home.jsf, et ça doit donc changer/recharger les rôles associés. Mais comment faire ?

Pour le premier point, j'avais pensé créer un filtre (web.xml) ou le stocker quelque part, ou même faire quelque chose dans le security-app-context.xml mais je ne sais pas trop quoi. Je bute là-dessus sans avoir de bonne idée...

Merci d'avance pour l'aide.

[thierryler]

Je vais essayer de préciser un peu.

Dans mon site, j'appelle des URL du site www.monsite.com/monprojet/monaction/1/fr/enfant

Je mappe les paramètres "1", "fr" et "enfant" à l'aide de Pretty-faces, mais le filtre de Pretty vient après celui de Spring.

Ma question concerne le paramètre "1", qui peut prendre plein de valeur différentes. Il correspond grosso modo à une rubrique de mon site. Or les utilisateurs n'ont le droit de voir qu'une partie des-dites rubriques. Certains les voient toutes, certains n'en voient qu'une, certains en voient plusieurs. Et ce n'est pas juste une question de les voir mais d'avoir des rôles dessus (USER, ADMIN, MODERATOR, etc.) C'est configuré en base. Bien entendu, le site n'affiche qu'une seule rubrique à la fois.

Donc, si je résume, les droits d'accès dépendent du login ET de la rubrique demandée. Et à chaque changement d'URL, je peux imaginer qu'il y a potentiellement un changement de rubrique...

Je suis paumé sur ce point. Je ne sais pas par quel bout le prendre.

J'ai pensé à faire un hasRoleForRubrique('ADMIN') dans le security-app-context.xml et éventuellement de charger l'intégralité des rôles du user connecté, mais reste la question d'avoir accès aux paramètres de l'URL, et de coder cette méthode aussi...

[JeitEmgie]

Avez-vous regardé les ACLs ?

http://static.springsource.org/sprin...main-acls.html

[thierryler]

Merci, je vais lire tout ça.