Discussion :

[FooFighters]

Bonsoir,

je suis face à un problème durant mon développement d’application : celle-ci est une appli Java JEE utilisant Jboss (wildfly).
J'aimerais mettre en place un système d'authentification, pour cela j'utilise le fichier login.html suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
          "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
	<head>
	  <title>Identification</title>
	</head>
 
	<body>
		<form action="j_security_check" method="post">
			<table>
				<tr>
					<td> Login : </td>
					<td><input type="text" autocomplete="off" name="j_username" /></td>
				</tr>
				<tr>
					<td> Mot de Passe :	</td>
					<td><input type="password" autocomplete="off" name="j_password" /></td>
				</tr>
			</table>
 
			<input type="submit" value="Connexion" />
		</form>
 
	</body>
 
</html>

Ici on fait appel à l'action j_security_check pour enregistrer les identifiants afin de procéder aux contrôles d'accès à certains servletts plus tard. Cependant, j'aimerais également faire d'autres traitements comme par exemple enregistrer le login de l'utilisateur dans une variable session lorsque la connexion se passe bien.
Dans tous les tutoriels que j'ai vu sur internet, les gens tapaient explicitement l'url d'accès à un contrôleur depuis le navigateur pour y accéder après authentification de cette manière là.
J'aimerais que cela se fasse automatiquement, seulement comme on utilise déjà l'action j_security_check je ne peux pas rediriger vers un de mes servlett.

Auriez-vous des suggestions ?

[Alkhan]

bonjour,

Utilises tu un framework pour géré l'authentification / authorisation ?
Sinon cela te faciliterais grandement la prise en charge.
Personnellement, j'utilise Apache Shiro, il est très complet et facile a mettre en place.
De plus il garde un état des sessions par utilisateur et l'authorisation très fine ce qui correspond a ce que tu souhaites faire !

[OButterlin]

Comme tu utilises une authentification JAAS, il faudrait passer par un custom login module pour faire des actions spécifiques.
Tu peux étendre par exemple la classe UsernamePasswordLoginModule et redéfinir la méthode login()

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
public boolean login() throws LoginException
{
    boolean ok = super.login();
    if (ok)
    {
        // faire un truc spécifique....
    }
}

Dans le fichier standalone.xml, il faudra définir ton domaine de sécurité dans ce genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<security-domain name="mon-domaine-auth" cache-type="default">
   <authentication>
      <login-module code="le.package.LoginModuleSpecifique" flag="required" module="si_besoin">
         <module-option name="password-stacking" value="useFirstPass"/>
      </login-module>
   </authentication>
</security-domain>

[FooFighters]

Merci pour vos réponses, je vais explorer la piste fournie par OButterlin.
Du coup, dans la conditionnelle if(ok) c'est là que je vais travailler avec mes variables de session. Cependant comment j'y accède ?
Dans mes servletts j'avais un objet HttpServletRequest dans lequel je travaillais avec mes variables de session.

J'ai déjà un security-domain qui ressemble à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
<security-domain name="secureDomain" cache-type="default">
    <authentication>
        <login-module code="Database" flag="required">
            <module-option name="dsJndiName" value="java:jboss/datasources/UserDS"/>
            <module-option name="principalsQuery" value="select passwd from Users where username=?"/>
            <module-option name="rolesQuery" value="select role, 'Roles' from UserRoles where username=?"/>
        </login-module>
    </authentication>
</security-domain>

[OButterlin]

Autant pour moi, si tu veux faire un traitement avec la session, il vaut mieux passer par un "custom valve", d'ailleurs, c'est encore plus simple
Tu crées une classe qui étend ExtendedFormAuthenticator comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
public class CustomAuthenticator extends ExtendedFormAuthenticator
{
    @Override
    public boolean authenticate(Request request, HttpServletResponse response, LoginConfig loginConfig) throws IOException
    {
        boolean result = super.authenticate(arg0, arg1, arg2);
        if (result)
        {
              // ici, tu fais ton traitement
        }
        return result;
    }
}

Ensuite, il faut créer un fichier jboss-web.xml qui ressemblera à ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
   <security-domain>mon-application-auth</security-domain>
   <valve>
           <class-name>mon.package.CustomAuthenticator</class-name>
   </valve>
</jboss-web>

[FooFighters]

Je vais essayer ça merci, en revanche il faut que j'utilise une librairie spécifique dans mon projet JBoss pour accéder à cette classe ExtendedFormAuthenticator ?
J'ai essayer de faire import org.jboss.web.tomcat.security.ExtendedFormAuthenticator; mais ça ne donne rien.