Discussion :

[facilus68]

Bonjour,

Dans mon application web, j'ai pas un espace d'administration de différents objets, j'ai crée un fichier administration.xhtml contenant des liens vers les pages a administrer.

Aussi, dans l'application y'a pas de notion d'authentification (gestion d'utilisateurs)

Je cherche un moyen de protéger l'accèe a ce fichier. c'est à dire quand je saisie dans l'url 'chemin_appli/admin/adminitration.xhtml', je doit saisir un user et mot de passe pour y'acceder.

quels sont les solutions possible ?

Merci

[OButterlin]

Une authentification JAAS avec tes pages à protéger dans un répertoire spécifique.
Ton web.xml va ressembler à ceci

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
...
    <!-- Paramètres propre à l'authentification -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>UnNom</web-resource-name>
            <url-pattern>/protected/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>ADMIN</role-name>
        </auth-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>RealmName</realm-name>
        <form-login-config>
            <form-login-page>/login.xhtml</form-login-page>
            <form-error-page>/login-error.xhtml</form-error-page>
        </form-login-config>
    </login-config>
 
    <security-role>
        <role-name>ADMIN</role-name>
    </security-role>
...

Pour la configuration du "realm", ça va dépendre de ton serveur cible.

[facilus68]

J'ai mis cette portion de code dans le web.xml

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<security-constraint>
	    <display-name>Accee reservé à l'administrateur</display-name>
	    <web-resource-collection>
	        <web-resource-name>admin</web-resource-name>
	        <url-pattern>/admin/*</url-pattern>
	    </web-resource-collection>
	    <auth-constraint>
            <role-name>ADMIN</role-name>
        </auth-constraint>
</security-constraint>

L'application tourne sur Tomcat 7. comment ajoutée le realm ?

Pour info, quand j'accede a l'administration du serveur (en fesant un double click sur eclipse), y'a une case dans 'Server option --> enable security' es ce la bonne ?

[OButterlin]

Il faut aussi la partie (au minimum "BASIC")

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<login-config>
        <auth-method>BASIC</auth-method>
</login-config>

Pour la configuration du realm sur Tomcat7, regarde la doc ici...

[facilus68]

J'ai ajoutée l'option MemoryRealm dans le fichier server.xml de tomcat comme suit :

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

<Realm className="org.apache.catalina.realm.MemoryRealm" />

J'ai ajouté aussi la security-contraint dans le web.xml comme suit :

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<security-constraint>
	    <display-name>Accee reservé à l'administrateur</display-name>
	    <web-resource-collection>
	        <web-resource-name>admin</web-resource-name>
	        <url-pattern>/admin/*</url-pattern>
	    </web-resource-collection>
	    <auth-constraint>
            <role-name>administration</role-name>
        </auth-constraint>
	</security-constraint>
 
	<!-- Define the Login Configuration for this Application -->
	<login-config>
		<auth-method>BASIC</auth-method>
		<realm-name>thetest Application</realm-name>
	</login-config>

dans tomcat-users.xml j'ai ajouté cette ligne pour le test :

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

<user name="admin1" password="admin1" roles="administration" />

Quand je clic sur le lien admin/rechercher.xhtml y'a aucune contrainte qui bloque l'accès

Je me suis basé de ce tuto :

http://www.oxxus.net/tutorials/tomcat/security-realms

et celui la aussi :

http://tomcat.apache.org/tomcat-7.0-...ml#MemoryRealm

Que dois-je ajoutée ou changer ?

Merci

[OButterlin]

Là, je ne vois pas, si ton web.xml est celui que tu montres, il devrait au minimum te présenter une popup de login.
C'est bien ce qui est déployé sur le serveur Tomcat ?

[facilus68]

Sincerement, je ne suis pas sur que celui qui est changer est bien ce qui est deployé.

Voici en ci-joint la capture d'ecran de mon workspace eclipse avec fichier server modifié :



J'ai changer le web.xml du tomcat et de l'appli.

Comment savoir si c'est le bon ?