Discussion :

[fabigol]

Bonjour à tous,
je voudrais protéger mes pages si je ne suis pas authentifié.
J'ai codé une première solution.
Je m'identifie sur ma page de long et je met dans le contexte de session mon objet login - avec le login.
Ensuite, sur les différentes pages de mon application je teste cet objet. si présent->j'affiche la page sinon redirection vers la page de login en expliquent que je n'ai les droits pour me logguer.

Je voudrais savoir si cette solution est pertinente.
S'il existe d'autre solution ou des technologies déjà existante style interceptor de Struts.

Merci de vos réponses et aides

[OButterlin]

La solution "standard" est une authentification JAAS, le web.xml contient les informations relatives à la protection

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
...
    <!-- Paramètres propre à l'authentification -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>UnNom</web-resource-name>
            <url-pattern>/protected/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>ADMIN</role-name>
        </auth-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>RealmName</realm-name>
        <form-login-config>
            <form-login-page>/login.xhtml</form-login-page>
            <form-error-page>/login-error.xhtml</form-error-page>
        </form-login-config>
    </login-config>
 
    <security-role>
        <role-name>ADMIN</role-name>
    </security-role>
...

Il y a une discussion ici sur le sujet...

[fabigol]

Merci pour ta réponse..
J'ai un petit soucis.
Mon projet est développé en JSF et xhtml. J'testé le petit exemple que tu avais mis dans la discussion ça fonctionne correctement
ça marche nickel si les fichiers protégés sont à la racine du projet mais pas quand il est dans un répertoire.

voici mon web.xml, si tu as une idée.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
	id="WebApp_ID" version="3.0">
	<display-name>GestionTournoi</display-name>
	<welcome-file-list>
		<welcome-file>Connexion.xhtml</welcome-file>
	</welcome-file-list>
 
	<servlet>
		<servlet-name>Faces Servlet</servlet-name>
		<servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
		<load-on-startup>1</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>Faces Servlet</servlet-name>
		<url-pattern>/faces/*</url-pattern>
	</servlet-mapping>
 
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>UnNom</web-resource-name>
			<url-pattern>/admin/*</url-pattern>
		</web-resource-collection>
		<auth-constraint>
			<role-name>ADMIN</role-name>
		</auth-constraint>
	</security-constraint>
 
	<login-config>
		<auth-method>BASIC</auth-method>
	</login-config>
 
 
</web-app>

[OButterlin]

A vrai dire, ce sont toutes les pages sous le répertoire /admin qui sont protégées...

[fabigol]

mais j'arrive a ouvrir les pages sous /admin/ Bizarre?

[OButterlin]

Il ne t'a jamais demandé de login ?
(parce qu'avec le type "BASIC", la popup n'apparaît qu'une seule fois, ensuite, il faut fermer le navigateur pour la retrouver)

[fabigol]

autant pour moi..
comme je développe en JSF url-pattern complete dans mon cas est /faces//admin/*

C simple.
Merci de m'avoir montrer Jaas..

[OButterlin]

Mais de rien, le standard a du bon

Sinon, personnellement, j'utilise plutôt l'url-pattern "naturelle" pour JSF2

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
    <servlet-mapping>
        <servlet-name>Faces Servlet</servlet-name>
        <url-pattern>*.xhtml</url-pattern>
    </servlet-mapping>

[fabigol]

une dernière question ou plusieurs..

Faut il beaucoup codé avec Jaas? ou c'est seulement de la configuration?
Je dois forcement rajouter une table role pour l'utiliser?

[OButterlin]

C'est de la configuration, mais d'un serveur à l'autre la façon de faire sera différente.

Pour la question "faut-il une table de rôle"... euh... bonne question... je ne sais pas si elle est obligatoire, j'aurais tendance à penser que non mais personnellement, j'ai toujours utilisé les rôles.

Quel est ton serveur d'application ? JBoss ? Glassfish ? autre ?