Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
y' a-t-il un risque lorsque le mot de passe() ?
Salut tout le monde,
j'utilise un managed Bean qui stocke un login et un mot de passe de l'authentification.
ce Bean est de scope Session, pour que je puisse afficher le nom de celui qui est connectée, sur toutes les pages.
est ce que c'est dangereux de mettre le mot de passe dans la session de managedbean ? si oui, est ce qu'il y'a une alternative ?
merci par avance
Est-ce dangereux? Oui, c'est une donnée sensible, il est toujours dangereux de la conserver plus de temps que nécessaire. Les beans en scope session peuvent être sérializé par le conteneur sur le disque, par exemple => Tu peux retrouver le mot de passe en clair sur le disque. C'est pas bien. Tu peux avoir un bug dans ton code qui exposerait le bean session, ce qui pourrait amener à montrer le mot de passe sur la page web, pas cool.
Je dirais que le plus propre, serait d'utiliser au moins un bean request scope et d'en retirer le mot de passe dès l'action d'authentification passée. Rien ne t'empêche, dans l'action, de définir une autre variable "user" sur le session bean pour garder la trace de l'utilisateur.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager