Discussion :

[clincks]

Bonjour,

j'aurais besoin d'aide.
Je dois sécurisé une application J2EE qui tourne sur OC4J.(Oracle)

La vérification du login/password doit être faite via un annuaire LDAP.
La recherche du service dans lequel travaille l'utilisateur doit être faite dans une base de donnée. (On va dire X).
L'affectation des rôles en fonction de l'id de l'utilisateur doit être faite via un accès à une base de donnée. (On va dire Y).
Tous les utilisateurs ne sont pas repris dans la base... il faudra donc leur donner des droits par défault lorsqu'il ne sont pas présent.

Après recherche sur le net... (c'est la première fois que je dois résoudre ce genre de problème)... j'en arrive à la conclusion qu'il y a deux manière de faire:
- Applicative (a moi de coder dans mes actions struts la gestion de sécurité)
- via l'api JAAS.

Autour de moi, d'autres projets on également déjà eu le problème... Tous on pris la solution Applicative prétextant que la solution JAAS est une usine à gaz auquel personne ne comprend rien...

Mes questions:
- Pourriez-vous confirmer ou infirmer cela (usine à gaz)?
- Pourriez-vous me donner les grandes lignes directrices pour la mise en place de la sécurité avec JAAS.
- Est ce que le fait d'avoir une authentification avec LDAP puis la gestion des droits via une base est elle complexe?
- Combien de temps faut-il prévoir pour la mise en oeuvre avec JAAS?

Personnellement je suis convaincu que JAAS est plus souple et plus "ouvert"... mais il me faut des arguments pour convaincre... et si possible des retours d'expériences.

MERCI.

Stéphane

[Elmilouse]

Salut,

je ne peux pas repondre à tes questions, mais etudiant le framework Spring, j'ai vu qu'il avait un module de securité : Acegi. Peut-être qu'il pourrait repondre à tes besoins. Je te dis ça au cas où tu n'en avais pas connaissance, cela peut t'aider dans tes recherches.

Bon courage.

[diabolo512]

bonjour,
le projet jGuard dont je fais parti permet d'utiliser JAAS dans des applications j2ee facilement.
tu pourras avoir plus d'infos sur notre projet ici:

http://www.jguard.net


@+,

Charles.

[clincks]

Merci pour vos réponses.

J'ai depuis que j'ai posté la question, pas mal bouquinné la question...

Après avoir cassé plusieurs dents (au figuré) sur le serveur OC4J d'Oracle réussi à intégrer la sécurité dans l'application.

En gros, il faut définir créer des LoginModules qu'il faut configurer au niveau du container (et du serveur... particularité OC4J 10.1.2).

Ce n'est pas très complexe... mais cela demande pas mal de connaissance et de recherche avant de comprendre ce qu'il se passe réellement.

La sécurité est bien JAAS...

Pour jGuard... je ne l'ai pas vraiment utilisé, bien que je me suis inspirer de ce que j'ai pu lire dans la doc pour comprendre comment cela fonctionne.

Dès que j'ai un peu plus de temps (on a perdu bcp de temps avec la sécuirté) j'étudie jGuard avec plus de recul et d'attention.

Dès que je maitrise mieux le sujet, je compte faire un petit document qui pourrait aider à comprendre comment aborder le sujet..; sans entrer dans les détails. (Je ne m'en sens de toute manière pas capable), mais qui au moins, pour une personne qui n'y connait rien, sache par où aborder le problème.
Un truc du genre : JAAS pour les nuls...

Maintenant, place au prochain défi, écrire un TagLib qui génère un calendrier.

Cela semble simple au premier abord... (je devrais dire pas trop complexe) mais je me méfie.

Pour ce que j'ai pu voir sur les TagLibs, c'est que l'on mélange la partie java et HTML, ce qui me semble pas très propre au point de vue "ergonomie".

Merci pour votre aide.

Stéphane

[et.rond.et.rond]

bonjour,
le projet jGuard dont je fais parti permet d'utiliser JAAS dans des applications j2ee facilement.
tu pourras avoir plus d'infos sur notre projet ici:

http://www.jguard.net


@+,

Charles.

je viens d'installer le WAR d'exemple, ça a l'air pas mal