Discussion :

[matt_lc]

Salut,

Bon je vais la faire par étape :

J'ai un serveur tomcat 5.5 sur une Debian
Mon appli utilise le framework JSF
J'ai généré un généré un certificat SSL placé dans un keystore de type JKS (avec keytool)
J'ai paramétré un Realm connecté avec un serveur active directory

Pour activer ma servlet JSF (Faces Servlet) je dois effectuer une redirection depuis l'index.jsp via

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<jsp:forward page="/pages/accueil.jsf" />

Ma page "accueil.jsp" doit être sécurisée et affiche ses éléments suivant le rôle de la personne connectée. Je dois donc absolument identifier l'utilisateur AVANT d'afficher cette page.

La page ADLogin.jsp est la page qui contient le formulaire "j_security_check". Pour qu'elle ausi soit sécurisée (bref toute l'appli) l'url-pattern utilisé pour ma security-constraint est /*.

Aucun problème à la connexion. Mais à la déconexion, je n'ai bien entendu pas le droit de rediriger vers la page de login, et lorsque je redirige vers l'accueil, après avoir fait un "session.invalidate();" dans ma fonction de déconnexion, au lieu de m'afficher le formulaire de login, il m'affiche (partiellement) la page "accueil" qui est, je le rappelle PROTEGEE.

So, ma question est simple :
Comment faire entendre raison à tomcat pour qu'il m'affiche le formulaire d'identification après la déconnexion de l'utilisateur ?

MERKIIIII !!!!

[tchize_]

Si j'ai bien compris ta config (security-constraint sur /*), seuls les utilisateurs authentifiés peuvent voir quoi que ce soit. Les autres c'est login. D'après toi çà marche correctement, mis à par le "session.invalidate()".

A mon avis, ton problème viens du fait qu'au logout, tu fait un forward vers accueil au lieu d'un redirect. Un forward est en interne (-> contraintes de sécurités différentes, de plus t'est toujours authentifié, meme si t'as plus de session, puisque t'es toujours dans la meme requete). Suggestion: après le invalidate(), fait immédiatement un "redirect" vers l'accueil. Le redirect est un ordre envoyé au browser de "faire une nouvelle requête", et là, comme y a plus de session, c'est une nouvelle requête toute neuve, on se retrouve comme au tout début où çà marchait.

[matt_lc]

Un "redirect()" suivi d'un "responseComplete()" et le tour est joué!!

MEKIIIII !!!!