Discussion :

[jaoued]

bonjour a tous,

Voila, j'ai mis en place une authentifiacation par anuaire ldap sur une application existante.
pour cela j'ai configuré le fichier web.xml en suivant le tuto suivant :

http://www-106.ibm.com/developerwork...tra/mitra.html

La page de login marche super bien.
seulement si je met directement l'url de la page sur laquelle on accede normalement apres le login, la page s'affiche sans que je soit logé.

comment faire pour plus que ca puisse s'affiché sans qu'on se soit logé ?
faut il faire une liste des pages qu'on veut protegé quelque part ?
ou mettre un script dans l'entete de chaque page et/ou servelet ?

je vous serais extremment reconnaissant si vous me repondiez car je suis bien embeté.

[dude]

ca peut etre a cause de ta declaration dans le web.xml

est ce que tu peux poster
- l'url de ta page de login
- l'url de ta page apres login
- tes declarations <security-constraints>

[jaoued]

Biensur ,

la page de login :
http://localhost:9080/chrisn/
qui a pour effet d'ouvrir la page d'acceuil par defaut : index.html

index.html appelle tout de suite la sevlet : TestServlet
et la aparait automatiquement la page de login : login.jsp
et seulement apres avoir été corectement authentifié le code contenu dans TestServlet s'execute.

le code de TestServlet consiste simplement a afficher la page du menu de l'aplication :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
	public void doGet(HttpServletRequest req, HttpServletResponse resp)
		throws ServletException, IOException {
		PrintWriter writer = new PrintWriter(resp.getOutputStream());
		writer.print("<BODY onload=\"location.href='servlet/Index?login=" + req.getRemoteUser() + "'\"></BODY>");
		writer.close();
	}

en tapant directement l'url : http://localhost:9080/chrisn/servlet...in=Utilisateur
la page est affiché alors que ca ne devrait pas l'etre.


en ce qui concerne le fichier web.xml voila en gros comment il est constitué :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app id="WebApp">
	<display-name>CHRIS Negoce</display-name>
.
.
.
	<servlet>
		<servlet-name>TestServlet</servlet-name>
		<display-name>TestServlet</display-name>
		<servlet-class>com.test.TestServlet</servlet-class>
		<security-role-ref>
			<description></description>
			<role-name>ValidUser</role-name>
			<role-link>ValidUser</role-link>
		</security-role-ref>
	</servlet>
.
.
.
	<servlet-mapping>
		<servlet-name>TestServlet</servlet-name>
		<url-pattern>/TestServlet</url-pattern>
	</servlet-mapping>
	<welcome-file-list>
		<welcome-file>index.html</welcome-file>
	</welcome-file-list>
	<error-page>
		<error-code>403</error-code>
		<location>/error403.html</location>
	</error-page>
.
.
.
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>ressources</web-resource-name>
			<description></description>
			<url-pattern>/TestServlet</url-pattern>
			<http-method>
			GET</http-method>
			<http-method>
			POST</http-method>
		</web-resource-collection>
		<auth-constraint>
			<description>ValidUser</description>
			<role-name>ValidUser</role-name>
		</auth-constraint>
	</security-constraint>
	<login-config>
		<auth-method>FORM</auth-method>
		<form-login-config>
			<form-login-page>/login.jsp</form-login-page>
			<form-error-page>/login.jsp?error=1</form-error-page>
		</form-login-config>
	</login-config>
	<security-role>
		<description></description>
		<role-name>ValidUser</role-name>
	</security-role>
</web-app>

[dude]

OK

La fenetre de login n'est lancee par le serveur que lorsque tu accedes a l'URL definie dans ta security-constraint.

D'apres ton web.xml, la fenetre de login ne sera donc lancee par le serveur que lorsque tu accederas a l'URL http://localhost:9080/chrisn/TestServlet.

Si tu veux que toute ton appli soit protegee par un login, il faut que tu declares ton url-pattern de cette facon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<url-pattern>/*</url-pattern>

Ainsi, quelque soit la page a laquelle tu accedes, tu devras t'authentifier

[jaoued]

je te remerci infiniment dude pour ton aide. ca marche parfaitement

il me reste une derniere question :
A quoi sert de definir le role de securité au niveau de la sevlet ?
comme dans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
   <servlet> 
      <servlet-name>TestServlet</servlet-name> 
      <display-name>TestServlet</display-name> 
      <servlet-class>com.test.TestServlet</servlet-class> 
      <security-role-ref> 
         <description></description> 
         <role-name>ValidUser</role-name> 
         <role-link>ValidUser</role-link> 
      </security-role-ref> 
   </servlet>

au quel cas dois je le rajouter au niveau de chaque servlet ?

[dude]

parce qu'une fois que l'utilisateur a ete identifiee par l'appli, tu peux restreindre l'acces en fonction du role de cet utilisateur.

Dans le bout de code que tu as mis, tu donnes a la servlet correspondante une reference vers un role applicatif. Ca n'est utile que si tu utilises la methode HttpServletRequest.isUserInRole("ValidUser") dans le code de ta servlet

[jaoued]

Encore une fois merci pour toutes ces precisions. Grace a toi j'y vois un peut plus claire dans tous ca.