Discussion :

[faty_br]

Je suis entrain d' etudier le Framework JAAS.

J'ai lu plein de truc mais le flow de JAAS n'est pas encore clair.

1) à quoi ça sert le JAASrealm déclaré dans le context de l'application?

2)A quoi ça sert le JAAS tant que j'utilise le FORM authentication dans le <login-config> de security-constraint qui designe une servlet qui se chargera de verifier l'identité de l'utilisateur??

3)Est ce que si je veux utiliser JAAS alors obligatoirement je dois mettre des security-constraint dans le web.xml??

plein de question, j'ai lu plein de tutorial sur JAAS et les différentes mots clef REALM, JAASrealm, login-config ... Mais toujours c'est ambiguë

[Mathieu.J]

1) à quoi ça sert le JAASrealm déclaré dans le context de l'application?

Le realm représente ton domaine contenant tes utilisateurs et tes groupes.
C'est lui qui va accéder à ta base de données, ou un annuaire LDAP ou autre.

2)A quoi ça sert le JAAS tant que j'utilise le FORM authentication dans le <login-config> de security-constraint qui designe une servlet qui se chargera de verifier l'identité de l'utilisateur??

Tu fais juste le formulaire (Avec les champs/id qui vont bien), c'est ensuite jaas qui va récupérer les informations et vérifier l'existence de ton user/password dans ton realm.

3)Est ce que si je veux utiliser JAAS alors obligatoirement je dois mettre des security-constraint dans le web.xml??

Sans <security-constraint> n'importe qui pourra accéder à l'ensemble de ton application sans s'identifier.

De plus, il ne faut pas oublier le mapping GROUP <--> ROLE dans les descripteurs de déploiement spécifiques a ton serveur.

[fxrobin]

Ma réponse sera un peu hors-sujet, mais si tu n'as pas besoin de fonctionnalité "bas-niveau" en sécurité JAVA, tu devrais directement regarder "Spring Security", qui va te faire gagner beaucoup de temps.

[faty_br]

Merci pour vos réponses.

En faite mon besoin c'est d’intégrer des solutions SSO avec une application J2EE utilisant déja JAAS. J'ai besoin d'avoir une redirection vers les serveurs SSO à chaque appel d'un URL protégés declaré dans les security-constraints. Est ce possible d'avoir une telle manipulation?

J'ai reussi à integrer la solution sso en ayant une redirection à l 'issue d'un URL contenant à la fin /sso mais ceci n'est pas une bonne solution car si jamais l'utilisateur non connecté veut acceder à une ressources protégés déclaré dans security-constraint ça va lui afficher une exception s'il tente de se connecter depuis le formulaire d'authentification de l'application.

J'ai procédé à mettre une servlet dans le login-conf qui se charge d'une redirection vers le serveur SSO. La redirection est reussite mais l'appel au service rest pour verifier l 'identité de l'utilisateur depuis le serveur SSO fini par avoir une autre redirection et enfin le senario n'est pas reussi.

J'espere que j'étais clair