Discussion :

[pinacola]

Bonjour tout le monde,

je suis entrain de faire une application web en utilisant springMVC, hibernate et tomcat, et je voudrai faire un système d'authentification.
je n'ai jamais fais un truc comme ça mais tout ce que je sais c'est que on peut le faire en configurant le nœud <Realm/> et aussi en utilisant ACEGI.

Je vous cache pas, j'ai envie de faire les deux solutions.
si vous avez des exemples, des tutoriaux qui peuvent m'aider à configurer ACEGI , surtout n'hésitez pas.

pour Realm je m'en occupe.

Je vous remercie d'avance

[*alexandre*]

Dans ton web.xml il faut configuré un listener pour acegi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
<!-- Security -->
	<listener>
		<listener-class>
			org.acegisecurity.ui.session.HttpSessionEventPublisher
		</listener-class>
	</listener>
	<filter>
		<filter-name>Acegi-Security</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetBeanName</param-name>
			<param-value>filterChainProxy</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>Acegi-Security</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>FORWARD</dispatcher>
		<dispatcher>REQUEST</dispatcher>
	</filter-mapping>

Puis créer un applicationContext_security.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">
 
<beans>
	<bean id="daoAuthenticationProvider"
		class="org.acegisecurity.providers.dao.DaoAuthenticationProvider"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="userDetailsService">
			<ref bean="userService" />
		</property>
		<property name="saltSource">
			<ref bean="reflectionSaltSource" />
		</property>
		<property name="passwordEncoder">
			<ref bean="md5PasswordEncoder" />
		</property>
		<property name="hideUserNotFoundExceptions">
			<value>false</value>
		</property>
	</bean>
 
	<bean id="authenticationManager"
		class="org.acegisecurity.providers.ProviderManager" abstract="false"
		singleton="true" lazy-init="default" autowire="default"
		dependency-check="default">
		<property name="providers">
			<list>
				<ref bean="rememberMeAuthenticationProvider"/>
				<ref bean="daoAuthenticationProvider"/>
			</list>
		</property>
	</bean>
 
	<bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="rolePrefix">
			<value>ROLE_</value>
		</property>
	</bean>
 
	<bean id="accessDecisionManager"
		class="org.acegisecurity.vote.AffirmativeBased" abstract="false"
		singleton="true" lazy-init="default" autowire="default"
		dependency-check="default">
		<property name="decisionVoters">
			<list>
				<ref bean="roleVoter" />
			</list>
		</property>
		<property name="allowIfAllAbstainDecisions">
			<value>false</value>
		</property>
	</bean>
 
	<bean id="filterSecurityInterceptor"
		class="org.acegisecurity.intercept.web.FilterSecurityInterceptor"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="authenticationManager">
			<ref bean="authenticationManager" />
		</property>
		<property name="accessDecisionManager">
			<ref bean="accessDecisionManager" />
		</property>
		<property name="objectDefinitionSource">
			<value>
				CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
				PATTERN_TYPE_APACHE_ANT
				/login.jsf=ROLE_ANONYMOUS
				/*.jsf=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN
				/pages/core/**=ROLE_ADMIN,ROLE_SUPERADMIN
			</value>
		</property>
		<property name="validateConfigAttributes">
			<value type="boolean">true</value>
		</property>
	</bean>
 
	<bean id="formLoginAuthenticationProcessingFilter"
		class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="realmName">
			<value>Ebonus authentification</value>
		</property>
	</bean>
 
	<bean id="exceptionTranslationFilter"
		class="org.acegisecurity.ui.ExceptionTranslationFilter"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="authenticationEntryPoint">
			<ref bean="formLoginAuthenticationEntryPoint" />
		</property>
	</bean>
 
	<bean id="httpSessionContextIntegrationFilter"
		class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
	</bean>
 
	<bean id="filterChainProxy"
		class="org.acegisecurity.util.FilterChainProxy" abstract="false"
		singleton="true" lazy-init="default" autowire="default"
		dependency-check="default">
		<property name="filterInvocationDefinitionSource">
			<value>
				CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
				PATTERN_TYPE_APACHE_ANT
				/**=httpSessionContextIntegrationFilter,formAuthenticationProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterSecurityInterceptor
			</value>
		</property>
	</bean>
 
	<!-- Filter to integrate user roles with HttpServletRequest -->
	<bean id="securityContextHolderAwareRequestFilter"
		class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />
 
	<bean id="loggerListener"
		class="org.acegisecurity.event.authentication.LoggerListener" />
 
	<!--	<bean id="basicProcessingFilter"-->
	<!--		class="org.acegisecurity.ui.basicauth.BasicProcessingFilter"-->
	<!--		abstract="false" singleton="true" lazy-init="default"-->
	<!--		autowire="default" dependency-check="default">-->
	<!--		<property name="authenticationManager">-->
	<!--			<ref bean="authenticationManager" />-->
	<!--		</property>-->
	<!--		<property name="authenticationEntryPoint">-->
	<!--			<ref bean="authenticationEntryPoint" />-->
	<!--		</property>-->
	<!--	</bean>-->
 
	<bean id="plainTextPasswordEncoder"
		class="org.acegisecurity.providers.encoding.PlaintextPasswordEncoder"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
	</bean>
 
	<!--  bean used for the form login authentification -->
 
	<bean id="formAuthenticationProcessingFilter"
		class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="authenticationManager">
			<ref bean="authenticationManager" />
		</property>
		<property name="authenticationFailureUrl">
			<value>/login.jsf?login_error=1</value>
		</property>
		<property name="defaultTargetUrl">
			<value>/</value>
		</property>
		<property name="filterProcessesUrl">
			<value>/j_acegi_security_check.jsp</value>
		</property>
		<property name="rememberMeServices">
			<ref bean="rememberMeServices"/>
		</property>
	</bean>
 
	<bean id="formLoginAuthenticationEntryPoint"
		class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
		<property name="loginFormUrl">
			<value>/login.jsf</value>
		</property>
		<property name="forceHttps">
			<value>false</value>
		</property>
	</bean>
 
	<bean id="rememberMeServices"
		class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices">
		<property name="userDetailsService">
			<ref bean="userService" />
		</property>
		<property name="key">
			<value>eBonus</value>
		</property>
		<property name="tokenValiditySeconds">
			<value>1209600</value>
		</property>
		<property name="parameter">
			<value>_acegi_security_remember_me</value>
		</property>
	</bean>
 
	<bean id="rememberMeAuthenticationProvider"
		class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
		<property name="key">
			<value>eBonus</value>
		</property>
	</bean>
 
	<bean id="rememberMeProcessingFilter"
		class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter">
		<property name="rememberMeServices">
			<ref local="rememberMeServices" />
		</property>
		<property name="authenticationManager">
			<ref local="authenticationManager" />
		</property>
	</bean>
 
	<bean id="anonymousProcessingFilter"
		class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
		<property name="key">
			<value>anonymous</value>
		</property>
		<property name="userAttribute">
			<value>anonymous,ROLE_ANONYMOUS</value>
		</property>
	</bean>
 
	<bean id="anonymousAuthenticationProvider"
		class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
		<property name="key">
			<value>anonymous</value>
		</property>
	</bean>
</beans>

et dans ton applicationContext ajouté un bean pour l encodage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
	<bean id="md5PasswordEncoder"
		class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"
		abstract="false" singleton="true" lazy-init="default"
		autowire="default" dependency-check="default">
	</bean>

Puis ajouter

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
	<bean id="reflectionSaltSource" class="org.acegisecurity.providers.dao.salt.ReflectionSaltSource" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default">
		<property name="userPropertyToUse">
			<value>getUsername</value>
		</property>
	</bean>

[pinacola]

je te remercie pour ton aide, j'essayerai ça dès que je rentre chez moi et je te tiens au courant.

Merci encore

[pinacola]

Bonjour,

Tout d'abord je te remercie pour ce que tu m'as donnée.
Je ne sais pas si j'ai raté quelques choses mais en tout cas j'ai deux problemes :
* si je tappe l'adresse d'une page quelconque j'y accede sans aucun contrôle.
* si je tappe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

localhost:8080/login.html (ou localhost:8080/)

et je mets login/mdp(les deux sont correctes) ça m'affiche

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

localhost:8080/;jsessionid=7B4B33C451D5A5F28BD123645DAF3661

des idées ?

[*alexandre*]

vérifie le path pour tes pages qui doivent être sécurisé

/pages/core/**=ROLE_ADMIN,ROLE_SUPERADMIN

ainsi que le mapping des pages

/*.jsf=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN

a premiere vue il faut que tu modifies en html (vu ton example) ou alors en jsp ou jsf

et lorsque tu charges ton fichier applicationContext charge TOUS les fichiers de config applicationContext*.xml (web.xml)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>/WEB-INF/applicationContext*.xml</param-value>
	</context-param>

il faut pas oublier également que ta page de login doit comprendre
un champ username qui porte le nom j_username
un champ password qui porte le nom de j_password

la doc http://www.acegisecurity.org/docbook/acegi.html#form

[pinacola]

Bonsoir alexandre,
La bonne nouvelle c'est que si je mets un login et un mdp correcte je me logue (http://localhost:8080/home.html).
et la mauvaise nouvelle c'est que :
* j'accede toujours aux autres pages sans contrôle.
et portant dans mon applicationContext-acegy.xml j' ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
			PATTERN_TYPE_APACHE_ANT
			/login.jsp=ROLE_ANONYMOUS
			/*.jsp=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN
			/view/jsp/**=ROLE_ADMIN,ROLE_SUPERADMIN

* quand je fais localhost:8080/ dasn la barre d'adresse j'ai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost:8080/login.jsp;jsessionid=FDA5D91C4FD882DAB7C7BE7CF084A794

Je continue mes recherches et je te tiens au courant.

Et si tu as d'autres idée n'hésite pas

Merci encore

[*alexandre*]

tes autres pages possèdent bien une extention en .jsp sinon la règle
/*.jsp=R ne marchera pas

[*alexandre*]

pour l id de la session à mon avis ca doit être lié à la conf de tomcat (a vue de nez)

[pinacola]

Oui elle ont toutes une extention en .jsp.
mais si je veux afficher la page toto.jsp dans la barre d'adresse j'appelle toto.html ( dans mon application-servlet.xml j'ai un mapping de genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<prop key="toto.html">monController</prop>

[*alexandre*]

et tu as testé le cas en définissant en .jsp ?

[pinacola]

Bonne question.
non j'avais pas tester mais maintenant oui et je n'ai pas accé aux pages il faut absolument que je passe par la page de login.
Je vais changer /*.jsp=R en /*.html=R
Mais maintenant pour chaque lien je doits me loguer

[*alexandre*]

c'est le principe de la sécurisation des pages :

*devoir être authentifié pour accéder aux ressources

(pour un user anonyme tu peux "jouer" avec les roles)

[pinacola]

je definis les users et les roles dasn un fichier de properties et dedans j'ai mis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
superadmin=superadmin,ROLE_ADMIN,ROLE_SUPERADMIN
ano=ano,ROLE_ANONYMOUS
admin=admin,ROLE_ADMIN

je vais tester et je te tiens au courant.

[pinacola]

Quelque soits les droits de l'utilisateur, si je coche pas _acegi_security_remember_me je doits me connecter à chaque fois je clique sur un lien de mon application.

[*alexandre*]

c'est le principe de cookie ce que tu peux faire c est de le placer en <input type="hidden" name="_acegi_security_remember_me" value="1">

[pinacola]

Bonjour alexandre,

je vais essayer de comprendre ce comportement et aussi celui de la sessionId avec la page login.
En attendant si tu trouves quelque chose je serai là

Merci vraiment pour ton aide

[pinacola]

Bonjour,
Je suis de retour
J’ai recommencé ce que j'ai fais étape par étape sans succès pour la sessionId
J’ai gardé <input type="hidden" name="_acegi_security_remember_me" value="1"> et j'ai pensé à ajouter une classe qui permet de fermer ma session, cette classe sera déclenché si l'utilisateur clique sur un lien déconnection ou ferme le navigateur (pour la détection de la fermeture du navigateur va être en javascript)
Tu crois qu'il y a un meilleur moyen pour faire ça?

Merci d'avance