Discussion :

[Burton's91]

Bonjour à tous,

Dans mon site internet, j'ai une page d'identification qui permet à un utilisateur définie dans la base d'accèder à un site de gestion de la base de donnée.
J'ai déjà coder la page login ainsi que la page de vérification des données saisies qui redirige automatiquement soit vers le site où la page de login.

Cependant le problème que je rencontre actuellement c'est qu'une fois l'utilisateur identifié comment je fais pour vérifier sur les autres pages de gestion de la base qu'il est bien encore connecté ?

Je travaille sous ubuntu 11.04, phpmyadmin et tomcat6

Merci

[DevServlet]

Bonjour,
Il existe plusieurs alternatives à ton pb. Je t'en présenterai 2 :
1-Soit tu utilises Spring Security et donc tu delegues toute la partie connexion et gestion de la sécurité des pages à Spring, ils expliquent ici
2-Soit programmatiquement tu codes une servletFilter à laquelle tu delegueras l'autorisation des droits d'accès aux pages, en d'autres termes pour chaque ressource demandée il vérifiera si une session existe, sioui il charge la page, sinon il redirige vers la page de login. un exemple ici

[Burton's91]

Ok je vous remercie pour votre réponse et au niveau du déploiement du servlet filter celà n'affectera en rien les autres pages c'est bien çà ?
Le servlet filter doit il être sur les autres pages. Il faut le définir une seul fois où sur chaque page ?

Merci.

[fxrobin]

Je pense qu'il faut que tu lises un peu ce qu'est un Filter ...

- http://www.oracle.com/technetwork/ja...rs-137243.html
- http://www.objis.com/formation-java/...uvre-d-un.html
- http://blog.netapsys.fr/index.php/po...et-le-cryptage

allez ! au boulot

[Burton's91]

Je vous remercie pour votre réponse accompagnée d'explication concernant le filter.

Sinon pensez-vous que c'est une mauvaise idée de se servir l'objet (session.setAttribute("status",true)) qui stocke la une valeur soit vrai ou faux. Si cette valeur est à vrai on peut accèder à la page sinon on est rediriger vers une page d'identification.

Au niveau de la sécurité est ce bon ?



Merci.

[fxrobin]

bah c'est pas mal en fait.

Quand il n'existait pas Spring Security et autre, je faisais comme ça.
Ca marche bien, c'est basique mais ça marche bien.
Si ça te suffit, fais comme ça, effectivement.

Après il te faudra tester sur toutes tes pages "securisées" que l'attribut de session existe.

[DevServlet]

bah c'est pas mal en fait.

Quand il n'existait pas Spring Security et autre, je faisais comme ça.
Ca marche bien, c'est basique mais ça marche bien.
Si ça te suffit, fais comme ça, effectivement.

Après il te faudra tester sur toutes tes pages "securisées" que l'attribut de session existe.

Bonjour Nan nan, la solution du servletFilter ne fonctionne pas ainsi, il faudrait qu'il prenne le temps de lire les liens qu'on lui envoie. Je réeplique le principe. Tous les appels server doivent passer par la servletFilter, si une session existe c'est qu'elle possède bien les valeurs de l'utilisateur connectée, et donc on autorise les ressources sinon redirection vers la page de login. Aucune autre page ne doit donc se préoccuper du fait que la session est ouverte ou pas. Ainsi donc quand l'utilisateur se connecte on crée la session et on y met son login et quand il se déconnecte on invalide la session. J'espère que c'est clair

[fr1man]

Sinon tu peux utiliser Jaas et les Realm de Tomcat.
Tu n'auras pas de filtre à coder.

[fxrobin]

Bonjour Nan nan, la solution du servletFilter ne fonctionne pas ainsi, il faudrait qu'il prenne le temps de lire les liens qu'on lui envoie. Je réeplique le principe. Tous les appels server doivent passer par la servletFilter, si une session existe c'est qu'elle possède bien les valeurs de l'utilisateur connectée, et donc on autorise les ressources sinon redirection vers la page de login. Aucune autre page ne doit donc se préoccuper du fait que la session est ouverte ou pas. Ainsi donc quand l'utilisateur se connecte on crée la session et on y met son login et quand il se déconnecte on invalide la session. J'espère que c'est clair

oui oui , je suis d'accord avec toi, les deux approches sont différentes. Je disais juste que le coup de l'attribut en session qui dit que c'est authentifié peut parfois suffire.

le filter est biensûr plus propre, puisque ça fait office de "contrôleur de sécurité", un peu comme le videur de la boite de nuit : "t'es en baskets, tu passes pas ... "

[Burton's91]

Je vous remercie tous pour vos réponses.

Je vais explorer les différentes pistes que vous m'avez donné.

Merci beaucoup pour votre aide.