Sécurité en JEE 5

**17mounir** · 15/05/2008, 15h49

Bonjour,

Je cherche à sécuriser une application JEE 5 (JSF, EJB3, JPA, Hibernate), en cherchant sur le net je n'ai trouvé que la doc officielle de Sun qui parle de : JAAS, Annotations, différenrents fichiers de déploiement... et j'avoue que je suis un peu perdu

Moi je cherche à faire un système "générique" (indépendant du serveur d'application : je ne sais pas si c'est une bonne idée

) dans lequel je pourrai facilement créer des Groupes d'utilisateurs avec un ou plusieurs profils pour tel ou tel droit (par exemple pour une telle fonctionnalité gérer le droit d'écriture, suppression, édition...)

Je pense que je devrais faire à la fois une protection dans jsf (pages et actions des managed bean) mais aussi au niveau des EJB (pour les accès par JNDI par exe)

Je cherche un retour d'expérience avec la nouvelle version JEE 5 (car j'ai l'impression de tourner en rond)

Merci

**yolepro** · 28/05/2008, 16h56

Bonjour 17mounir,

De ce que je peux t'en dire, il y a plusieurs point a voir.

Quand tu dis

système "générique" (indépendant du serveur d'application ...

Pour moi, cela correspond à un annuaire LDAP pour les utilisateurs (dit moi si j'ai tord). que tu vas attaquer via les mécanismes standards.

Apres pour la gestion des groupes et des roles, je pense que tu auras du mal à t'affranchir du serveur d'application car ces roles sont normalement administrable directement par la console. Il est tout de même possible d'utiliser des mécanismes génériques (JAAS par exemple) mais l'implémentation de ces mécanismes restera toujours du coté du serveur d'application (exemple de l'AuthenticationProvider pour Weblogic).

**17mounir** · 01/07/2008, 14h25

Salut,

Merci pour ces explications.

En fait je ne dispose pas forcément d'un annuaire LDAP (les utilisateurs peuvent être dans une BD relationnelle classique)

La dépendance de la notion de sécurité envers les serveurs d'application me gène, car pour moi les applications JEE sont indépendantes de la plate forme d'exécution (jBoss, WebLogic, Tomcat...) du moment ou on dispose des conteneurs Web et Métier.

Je pensais qu'on pouvait facilement avoir des tables du genre : users, groups, profiles, applications pour regrouper les utilisateurs dans des groups et leurs accorder des habilitations pour des applications.

**batmatm** · 23/01/2012, 11h26

Le sujet date, mais pour mémoire : si vous cherchez à sécuriser une application JavaEE de façon standard => c'est JAAS le standard.

Baptiste

Sécurité en JEE 5

Java EE

Vue hybride

Discussions similaires

Partager

Partager