Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Récupérer certificat authentification SSL
Bonjour à tous,
Je développe une application qui est déployée sous Glassfish. Nous utilisons de l'authentification forte des clients par certificats SSL.
Une fois que la connexion est établie, nous voudrions pouvoir récupérer le certificat client dans notre application. Connaissez-vous un moyen de faire ceci svp ?
Merci d'avance pour vos réponses.
et voilà :
http://stackoverflow.com/questions/3...ervice-context
tu as aussi ce petit tuto :
http://emo.sourceforge.net/cert-login-howto.html
et encore celui-ci :
http://documentation.progress.com/ou...rity_api5.html
perso, comme j'utilise Spring Security dans mes applis, j'utilise ceci pour gérer les certificats X509 :
http://whitey.wikidot.com/spring-security-x509
Moins on code, moins il y a de bug ... et vice-versa ainsi qu'inversement ...
Glassfish JAAS
Bonjour,
Merci pour ta réponse ! En fait, j'ai développé un EJB accessible en Web Service. Je n'ai pas de Servlet. Je n'arrive donc pas à utiliser la méthode que tu m'as donnée.
Avec Glassfish, il est possible de personnaliser le système d'authentification JAAS. Pour le moment, j'utilise la méthode JDBCRealm mais celle-ci ne vérifie que le login, le mot de passe et le groupe de l'utilisateur. Je souhaiterai ajouter une vérification supplémentaire avec un certificat. En fait, dans mon appli, une connexion peut etre acceptée si l'utilisateur envoie le usernametoken (username+password) + le certificat utilisé avec https. Un client utilisant un certificat 1 ne peut pas utilisé les usernametoken d'un client utilisant un certificat 2.
J'ai pensé à ajouter une colonne certificat dans ma table et développer un loginmodule qui vérifierait dans la base la colonne certificat en plus de la colonne login et password (comme le fait JDBCRealm) mais je bloque sur l'ajout du certificat dans l'objet Subject appelé dans la méthode initialize de la classe qui implémente LoginModule.
D'autres idées ?
Merci d'avance !
si si, en WebService (avec JAW-WS je présume) même en EJB tu as accès au contexte de servlet qui l'a déclenché ... car un WebService ... s'appuie sur Servlet, via le WebServiceContext :
http://stackoverflow.com/questions/1...ava-web-servic
Moins on code, moins il y a de bug ... et vice-versa ainsi qu'inversement ...
Re
Merci beaucoup pour ta réponse !
Effectivement, cela permettrait de résoudre mon problème. Je souhaiterai que cette vérification soit effectuée à chaque appel d'un WS. Est-ce possible (sans le faire à la main systématiquement) ?
Bon apreme !
Moi je ferais cela dans un SoapHandler.
http://www.mkyong.com/webservices/ja...n-server-side/
j'ai déjà fait de la vérification pas Basic Auth dans un Soap Handler, mais pas avec certificat. Mais comme on a accès à la request dans un SoapHandler ...
Un SoapHandler, c'est un peu comme un ServletFilter : ça s'intercale entre l'implémentation d'un WebService et le traitement de la requête HTTP.
D'ailleurs en dernier recours, je pense qu'un "simple" Filter ferait l'affaire.
A+
Moins on code, moins il y a de bug ... et vice-versa ainsi qu'inversement ...
re
Merci pour ta réponse.
Je ne sais plus trop quoi faire. J'aurais aimé que cela soit systématique. Avec ta solution, en enlevant la reference au fichier xml dans l'ejb, on pourrait accéder au service. Or, je ne peux pas prendre ce risque...
Bonne soirée !
Merci pour ton aide. Je vais utiliser ta méthode avec le ws-context !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager