Discussion :

[P4dre]

Bonjour,

Je sécurise actuellement des web services et grace au merveilleux conseils des personnes fréquentant DVP j'ai réussi a sécuriser mon WS par une auth basic et ensuite par SSL

Mais maintenant mon but et de combiner les deux afin d'avoir une authentification par login/mdp qui soit cryptée

Hors , dans l'élément <security-constraint> de mon fichier web.xml si je lui met les deux formes d'authentification ( CLIENT-CERT et BASIC ) il n'est pas content.

Ayant vu sur le net que des personnes utilise cette combinaison en matière de sécurité , je suppose que c'est possible , mais comment?

Mes recherches sur le net n'ont pour l'instant rien donnée , si vous avez quelque conseils ou une voie à me donner , je suis partant ^^

P4dre

[P4dre]

Bon je me repond moi même ^^

En faite dans le cas d'un auth basic sous SSL , il suffit de spécifier qu'il s'agit d'un Auth basic avec comme <transport-guarantee> CONFIDENTIAL

Je verifie que sa marche et je vous tient au courant, même si sa doit pas interesser grand monde

[SEMPERE Benjamin]

si c'est ca tu as raison
Si tu utilises Tomcat, n'oublie pas de definir un connecor SSL dans ton server.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
    <Connector port="9043" 
               maxThreads="150" minSpareThreads="25"         maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

Apres avoir au prealable cree un keystore a l'aide du keytool

Bon courage

[P4dre]

Je travail sur le Sun Application server qui a de base un port SSL configuré , lorsqu'un client veut se connecté sur une ressource sécurisé , il redirige sur ce port

Donc en effet , sa marche !

Extrait de mon fichier web.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<security-constraint>
    <display-name>SecurityConstraint</display-name>
    <web-resource-collection>
        <web-resource-name>WRCollection</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>asadmin</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
     <auth-method>BASIC</auth-method>
     <realm-name>admin-realm</realm-name>
</login-config>

Lorsque j'essaye d'acceder au wsdl de mon Web service , j'ai une authentification par prompt , une fois authentifié je suis redirigé sur une url en https avec le port adéquat

A bientot pour de nouvelles aventures et merci Benji

[globule71]

Bonjour,

Je ressort ce vieux post pour demander quelques infos supplémentaires à propos de la basic auth.
D'après ce que j'ai compris c'est géré ans le fichier de deploiement à l'aide des balises <security-constraint> et <login-config>. Ou l'on accorde des privilèges à des users... Mais je n'arrive pas à cerner ou est ce que l'on configure le password pour les users concernés... Si quelqu'un pouvait m'éclaircir là dessus...
A savoir que j'ai développé des WebServices et je les ai deployés sous l'appli jonas qui elle même tourne sur tomcat. Je compte donc maintenant appliquer une basic auth à un de mes WebService et dans un second temps implémenter le SSL.

Merci d'avance !

[globule71]

Au temps pour moi, je ne parle pas du fichier de deploiement (.wsdd) mais bien du fichier web.xml !