Discussion :

[Stephane75000]

Bonjour.
Je voudrai empêcher l'accès à des pages interdites lorsque l'utilisateur saisi l'adresse via l'url.
J'ai mis ce code mais ça ne marche pas encore :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<security:intercept-url pattern="/actionAppelee.*" access="ROLE_MASTER" />

car l'utilisateur qui a le ROLE_USER arrive à se connecter.

Je travaille avec spring, struts 2...

Est-ce que quelqu'un a une idée svp ?

Merci d'avance pour votre aide.

[andry.aime]

Bonjour,

C'est seulement sur cette page que ça fait foiré la sécurité ou bien pour toutes?
As-tu déclaré la fichier de configuration de spring sécurity dans ton web.xml (contextConfigLocation) ?
La valeur de ton path-type ?
Peut-on voir un peu plus sur la fichier de configuration de sécurité?

A+.

[Stephane75000]

Bonjour.

En fait, toutes les pages qui sont interdites, sont accessibles via l'url.
Pour le contextConfigLocation, oui, je l'ai déclaré dans le fichier web.xml comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
	classpath:applicationContext-core.xml	
	classpath:applicationContext-web.xml		
	classpath:applicationContext-security.xml
	</param-value>
</context-param>

Voici un bloc de sécurité dans le fichier applicationContext-security.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<sec:http use-expressions="true" auto-config="false" access-denied-page="/access_denied.jsp">
<sec:intercept-url pattern="/**" access="isAuthenticated()" />
<sec:intercept-url pattern="/login.jsp" filters="none" />	
<sec:intercept-url pattern="/changePassword.jsp" filters="none" />
<sec:intercept-url pattern="/forgotten.action" filters="none" />		
<sec:intercept-url pattern="/uneAction.*" access="ROLE_MASTER" />
<sec:intercept-url pattern="/uneAutreAction.*" access="ROLE_MASTER" />	 
<sec:intercept-url pattern="/UneTroisiemeAction.*" access="hasAnyRole('ROLE_USER', 'ROLE_MASTER')" />
<sec:intercept-url pattern="/images/*" filters="none" />
<sec:intercept-url pattern="/*validation.xml" filters="none" />
<sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?login_error=true" default-target-url="/search.jsp"/>
<sec:logout logout-success-url="/login.jsp" invalidate-session="true" />
</sec:http>

Merci d'avance.

[andry.aime]

Si tu ne déclares pas le path-type, tu dois utiliser "**" et non pas une seule "*" car le default est "ant".

A+.

[Stephane75000]

Merci.
Est-ce que tu veux dire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<sec:intercept-url pattern="/uneAction.**" access="ROLE_MASTER" />

au lieu de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<sec:intercept-url pattern="/uneAction.*" access="ROLE_MASTER" />

?
Si oui, je l'ai testé mais toujours pareil, on y accède même si on n'a pas le droit.
Merci bien.

[Stephane75000]

Bonjour.
Je suis arrivé à corriger le bug en déplaçant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<sec:intercept-url pattern="/**" access="isAuthenticated()" />

avant la fin de la balise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

</sec:http>

et aussi avant la balise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<sec:form-login

. En plus, j'ai remplacé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access="ROLE_MASTER"

par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access="hasRole('ROLE_MASTER')"

.
Cependant, ça marche très bien sur IE8 mais ça ne marche pas sur IE7, c'est à dire, il n'y a pas de sécurité sur IE7.
Si quelqu'un a une idée, elle est la bienvenue.

Merci d'avance.