Discussion :

[af.zakaria]

Bonjour,

Je développe des applications web en JEE, en utilisant l'architecture 3 tiers (Apache Tomcat comme serveur d'application) et j'aimerais savoir quels sont les moyens permettant de sécuriser des applications web, dans les entreprises, pour pouvoir proposer des solutions solides.

Auriez-vous des informations ou des suggestions à ce sujet ?

Merci d'avance.

[marouanenet]

Salut af.zakaria,
J’ai entendu par Spring security, c'est un composant de Spring qui peut aider dans la sécurité, mais je n’ai jamais travaillé avec cet outil, c’est juste une proposition qui peut être utile.

[vilasyra]

Bonjour,

Tu peux mettre en place un Realm. Exemple : http://beuss.developpez.com/tutoriel...on/formulaire/

[fxrobin]

+1 pour Spring Security qui s'ajoute comme un Filter et qui te permet de sécuriser très facilement une application existante en fonction de tes critères (authentification, groupe, rôle).

[Desboys]

Bonjour,

tu as plusieurs options:

• le conteneur gère la sécurité de ton application, c'est à dire que tu exploites la sécurité déclarative JEE ( security-constraints, security-roles, ... ).
• l'application gère intégralement la sécurité, tu exploites ceci de manière programmatique ( tu peux y mettre en oeuvre Spring security, ou tout autre technique propre à l'environnement du SI dans lequel évolue l'application)
• tu fais un mélange déclaratif/programmatique, à l'aide des techniques sus-citées.

Personellement, je suis en faveur des aspects déclaratifs, afin de ne pas toucher à l'application lorsqu'on la déploie avec différents paradigmes ( "tout passant", HTTP Basic, CAS, SSO, etc etc ).

Cordialement,
Sébastien