Discussion :

[frodomo]

Bonjour à tous!

Développeur Java core depuis un moment, je décide de me lancer dans le développement web et le Java EE.

Pour me faire la main, je suis en train de faire un petit projet, avec pour l'instant un système de création de compte / connexion.
J'aurais besoin de vos avis sur la bonne pratique à suivre suite à la connexion d'un utilisateur déjà enregistré.

Actuellement, j'ai une page JSP et sa servlet respective /signin qui permet de demander les credentials et les vérifier.
Ma question porte sur la suite: je souhaite, lorsque la connexion est bonne, rediriger l'utilisateur vers une page qui lui est personnalisée. Dois-je ajouter le bean utilisateur (avec toutes ses infos) en tant que paramètre de requête et forwarder vers la dite page (mais dans ce cas, l'URL affiche toujours /signin) ? Ou bien dois-je plutôt créer un cookie avec un numéro de session, rediriger vers la page personnalisée et interroger de nouveau la base pour avoir les infos ?
Ou bien avez-vous d'autres méthodes ?

Je vous remercie pour votre aide!

Adrien

[OButterlin]

(Pas sûr d'avoir compris exactement la nature de ton problème mais de ce que j'en ai compris...)

La première question à se poser est : est ce que mon utilisateur va pouvoir ouvrir plusieurs onglets dans le navigateur avec des utilisateurs différents ?

- NON : le plus simple est d'utiliser l'objet HttpSession côté serveur pour stocker tout ce qui est spécifique à la session de l'utilisateur, entre autre, ses informations personnelles.

- OUI : ça se complique... parce que vu du côté serveur, il n'y a qu'une seule session (HttpSession), il va donc falloir ajouter un "identificateur de fenêtre" pour dissocier les différents "session" côté client.

[frodomo]

Merci pour ta réponse!

En fait, pour faire plus simple ma question est la suivante : une fois que j'ai vérifié les identifiants entrés dans la servlet que dois-je faire ? Conserver les informations que j'aurais déjà reçues de la base quand je l'ai interrogé pour vérifier le mot de passe, ou interroger de nouveau la base une fois que je serai redirigé vers la page d’accueil utilisateur?

En effet, dans mon cas de figure, il n'y aura qu'une seule session utilisateur par navigateur .

[tchize_]

le conteneur web se charge déjà de gérer la session, donc le plus simple serait de stocker dans la session que l'utilisateur a été authentifié et quels sont ses droits. Ca c'est pour le basique. Pour le plus compelx, il vaut mieux se fier à des implémentations existantes et leur laisser faire le boulot de redirection / authentification. Il y a beaucoup de chose à faire gaffe autour de l'authentification, ce qu'une authentification "maison" ne fait en général pas.

[frodomo]

Merci tchize_ !

Aurais-tu un framework à me recommander ? j'ai trouvé Apache Shiro lors de mes recherches...

[tchize_]

apache shiro et spring security sont les deux qui me viennent en tête.

Plus ce que le conteneur te met déjà à disposition pour la gestion des roles, qui est parfois plus rapide et plus standard, mais moins souple.

[frodomo]

Super merci.
Je vais essayer ça cette semaine et te tiens au courant

[OButterlin]

Sinon, il y a le bon vieux standard JAAS pris en compte par tous les serveurs...
On peut même customiser l'objet représentant l'utilisateur authentifié, mais c'est un peu de boulot