Discussion :

[19890306]

Bonjour,
J'ai une application modulaire avec plusieurs types d'utilisateur différents répartis en fonction des rôles( administrateur , manager , user,...).
En base j'ai les tables rôle(id, rolename, description), action( id, description, autorisation(cread, delete, read and update)) et les tables d'associations user_rôle( id_user, id_rôle), rôle_action(id_rôle, id_action).
Quelle est la meilleur solution pour implémenter une gestion de droits utilisateurs (par exemple, donner les autorisations de la création/modif./suppression/edition des utilisateurs à l' administrateur) ?
Pour information : j'ai utilisté dans ce projet : jsf , jpa et la base de données Mysql.
D'avance merci pour votre aide.

[Cafeinoman]

Ce qu'il te faut c'est une implémentation de JAAS je pense. Comme tu utilise JSF, je suppose que tu as un container. Peux tu nous dire lequel?
Sinon, tu as le choix entre reimplementer JAAS, ce qui peux être rapide si tu ne cherche qu'une sécurité basique, ou utiliser un framework. Perso, je suis en train de bosser avec picketlink, l'implementation utilisée par Wildfly, que je trouve très complète. Mais d'autres auront peut être des suggestions différentes.

Bon courage.

[plawyx]

apache shiro

http://shiro.apache.org/


Cafeinoman

Pourquoi as-tu choisi "PicketLink" ? Peux-tu nous lister ses avantages (et inconvénients)? Connais-tu shiro? Si oui, peux-tu nous les comparer ?

merci

[Cafeinoman]

Je bosse sur un Widfly, donc je suis parti sur leur implémentation de référence, tout simplement. Je commence seulement à implémenter la couche de sécu, donc je ne peux pas vraiment fournir un retour, et jeune connais pas Shiro.
Ce qui me paraît pas mal avec PicketLink, c'est qu'il peut prendre en charge une gestion des identités assez complexe avec une implémentation assez aisée. Mais je note dans un coin de fournir un retour une fois le boulot terminé.

[19890306]

Cafeinoman,

Bien sur j'utilise un serveur d'application GlassFish (donc un conteneur EJB).

C'est pour l'authentification que j'ai fait la configuration du JAAS dans le serveur Glassfish.

[Cafeinoman]

Bon, donc si je comprend bien, tu as des utilisateurs authentifiés avec un web.xml paramétré, et il te faut gérer leurs autorisations. Tu peux donc :
a) utiliser simplement utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rendered=#{request.isUserInRole("ADMIN")}

dans tes attributs jsf, ce qui te permettra un premier filtrage au niveau de la page en affichant masquant des commandes

b) utiliser dans tes beans de vue

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

FacesContext.getCurrentInstance().getExternalContext()

puis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

isUserInRole("ADMIN")

ou même

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

getUserPrincipal()

pour faire des vérifs.

c) utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@RoleAllowed("ADMIN")

sur les méthodes de CRUD de tes EJB.

Après, si tu veux un grain plus fin dans la gestion des droits, jette un œil aux frameworks que l'on t'a proposé, et regrde qu'elle implémentation utilise Glassfish...

[19890306]

Bonjour chers membres du club,

Je vous remercie de vos suggestions !!

Juste vous informez que j'ai réussi finalement à résoudre mon problème.

En effet, j'ai utilisé les intercepteurs de java EE 6.

Après avoir créer ma classe intercepteur, je l'associe à mon ejb par l'annotation @Interceptors.

Et ainsi toutes les méthodes de l'ejb seront interceptées avant d'être exécutées.

Merci encore de plus !!!