Bonjour,
j'aurais besoin d'aide.
Je dois sécurisé une application J2EE qui tourne sur OC4J.(Oracle)
La vérification du login/password doit être faite via un annuaire LDAP.
La recherche du service dans lequel travaille l'utilisateur doit être faite dans une base de donnée. (On va dire X).
L'affectation des rôles en fonction de l'id de l'utilisateur doit être faite via un accès à une base de donnée. (On va dire Y).
Tous les utilisateurs ne sont pas repris dans la base... il faudra donc leur donner des droits par défault lorsqu'il ne sont pas présent.
Après recherche sur le net... (c'est la première fois que je dois résoudre ce genre de problème)... j'en arrive à la conclusion qu'il y a deux manière de faire:
- Applicative (a moi de coder dans mes actions struts la gestion de sécurité)
- via l'api JAAS.
Autour de moi, d'autres projets on également déjà eu le problème... Tous on pris la solution Applicative prétextant que la solution JAAS est une usine à gaz auquel personne ne comprend rien...
Mes questions:
- Pourriez-vous confirmer ou infirmer cela (usine à gaz)?
- Pourriez-vous me donner les grandes lignes directrices pour la mise en place de la sécurité avec JAAS.
- Est ce que le fait d'avoir une authentification avec LDAP puis la gestion des droits via une base est elle complexe?
- Combien de temps faut-il prévoir pour la mise en oeuvre avec JAAS?
Personnellement je suis convaincu que JAAS est plus souple et plus "ouvert"... mais il me faut des arguments pour convaincre... et si possible des retours d'expériences.
MERCI.
Stéphane
Partager