Bonjour,
J'ai une page jsp appelée "modificationDocument.jsp" qui possède un bouton suppression avec un lien dirigeant vers une servlet pour supprimer une donnée dans ma base de donnée.
Mon bouton suppression:
<a href='supprimerDocument?id=233' ><button type='button' class='btn btn-default'>Supprimer</button></a>
Ma servlet avec la méthode doGet() prend la valeur du parametre de id transmise dans l'URL, supprime la donnée et affiche une page de résultat.
J'ai deux problèmes:
J'aimerai quel seul un utilisateur authentifié puisse pouvoir exécuter la servlet avec URL "/supprimerDocument" . Actuellement un visiteur quelconque peut taper le lien URL vers la servlet et accéder comme il le désire sans avoir de restriction.
J'ai pensé à une solution dans ma méthode doGet de chacune de mes servlets vérifier si la session a été crée si elle a été créer regarder si l'utilisateur existe dans ma base de donnée sinon rediriger vers la page d'accueil. Je ne sais pas si c'est la meilleur manière de procéder.
Mon autre problème:
Si l'utilisateur est bien authentifié, Existe t-il un moyen que l'utilisateur ne puisse exécuter "/supprimerDocument?id=233" uniquement à partir du bouton "Supprimer" dans ma page "modificationDocument.jsp".
Je ne voudrais pas que l'utilisateur authentifié puisse taper "/supprimerDocument?id=32324" dans l'URL directement.
Merci d'avance
Si vous avez des pistes ou idées je suis preneur
Partager