Discussion :

[zaitsev]

Bonjour,

Tout est dans le titre, je souhaite empêcher un utilisateur connecté de pouvoir accéder à la page login.xhtml (ce qui parait logique). J'ai vu pas mal de solutions utilisant le web.xml, mais ce fichier n'est plus nécessaire pour mon application (JEE 6).

Quelqu'un a une solution ?

[paissad]

Bonjour,
en effet, si tu utilises JEE6, tu peux te passer du web.xml. Et ceci étant dit, tu peux toujours utiliser les annotations
En cela, je te propose d'utiliser/créer un @WebFilter que tu vas apposer sur le lien de ton login (login.jsf / login.xhtml ...)
Donc, ce que tu feras dans ce filtre (@WebFilter), c'est:
Récupérer la session courante si elle existe
(a) si ça existe, alors un user est déjà connecté, alors tu le rediriges où tu veux, ou tu en fais ce que tu veux tout simplement (moi, je redirige vers la page d'accueil du site ...)
(b) sinon, un user n'est pas encore connecté, alors il peut aller dans la page de login.

Par ailleurs, moi ce que je te propose d'autre aussi, c'est d'avoir tes boutons "login" et "disconnect" en exclusion mutuelle lorsque l'utilisateur est connecté ou pas encore. Tu peux faire cela en utilisant le "rendered" à 'true' ou 'false' selon que la session comporte bel et bien un utilisateur connu

Ainsi, à moins que l'utilisateur tape explicitement le lien vers la page de login sur barre d'adresse, il ne verra pas de bouton "login" s'il est déjà connecté.
Et aussi, vu que le filtre existe déjà, même s'il tape le lien, il ira à la page d'accueil.

Cordialement,

[zaitsev]

Merci de ton aide, mais je sais pas si tu as bien compris mon besoin puisque tu me dis :

à moins que l'utilisateur tape explicitement le lien vers la page de login sur barre d'adresse

C'est bien ça le problème, je sais comment cacher les liens, mais moi ce que je veux c'est qu'un utilisateur connecté ne puisse pas accéder à une page, même en tapant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://monapplication/login.jsf

De même, je comprends pas trop l'utilisation des @Webfilters, cela n'empêche pas d'appeler une page via la barre d'adresse.

[tchize_]

dans ton login, tu rajoute sur ton tag <h:form> un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rendered="#{not condition.qui.me.permet.de.savoir.si.lutilisateur.est.loggue}"

[paissad]

Tu ne peux pas empêcher une personne de taper CE QU'IL VEUT dans la barre d'adresse
Tout ce que tu peux faire, c'est traiter la page qui est demandée ... en l'occurrence la page de login.
Si la page est demandée, tu peux faire ce que tu veux, par exemple rediriger vers une autre page, ou bien demander des identifiants ... etc etc ... mais je ne vois pas comment tu pourrais empêcher quelqu'un de taper ce qu'il veut dans la barre d'adresse, c'est impossible

[zaitsev]

Merci de ton aide.

comment tu pourrais empêcher quelqu'un de taper ce qu'il veut dans la barre d'adresse

Ce n'est pas ce que je dis, moi je suppose qu'on peut empêcher quelqu'un d'accéder à une page (par accéder j'entends le renvoi de la page, pas le fait de le taper dans la barre d'adresse). Après tout, c'est que qui se faisait avec le web.xml nan, ne me dit pas qu'avec la puissance de JEE et JSF, pour masquer l'accès à une page on doit se contenter de faire des rendered="false".

Je pensais (peut être bêtement) qu'on pouvait définir des cas de navigation où une page ne peut être renvoyé que selon une condition.

[paissad]

Par renvoi de la page, tu veux dire redirection non ?
Enfin bref, tu dis que c'est possible de le faire avec le web.xml, donc comment tu t'y serais pris avec le web.xml ? ... On essaierai de te donner l'équivalent sans lui ! (car ça devrait exister ...)

[tchize_]

en J2EE la seul proteciton de stock c'est "Faut avoir le role XXX pour afficher cette page". Tu cherche l'effet inverse (faut pas avoir de role et etre unauthenticated).

Dans ce cas le mieux reste de définir un filtre qui renvoie un 503 ou un redirect, et d'associer ce filtre à certaines urls. Mais franchement tu te casse le cul pour pas grand chose, car si tu ne renvoie pas ta page, tu devra bien renvoyer quelque chose. Et il est bien plus convivial du point de vue de l'utilisateur de cacher juste le formulaire et d'afficher un paragraphe "bonjour Mr tartempion. Il semble que vous soyez déjà connecté. Cliquez ici pour accéder au site. Cliquez ici pour vous délogguer."