Discussion :

[mickael.guilbert]

Bonjour,

J'aimerais rendre accessible mes ws qu'a certains utilisateurs. Je pensais mettre dans tous les echanges le login et pwd le tout via du https.

Avez vous de bon exemples (ou liens) de procedés simples d'authentification ?
Le solution que j'ai trouvés ne fonctionnent correctement qu'avec des clients Java. Mes clients sont en php, java, javaScript ....

J'utilise Glassfish V2.
Merci

[alexismp]

tu peux faire du SSL : https://wsit-docs.dev.java.net/relea....html#wp161450
ou utiliser un jeton comme le font la plupart des sites publics
ou les 2...
plus de details ici: https://wsit-docs.dev.java.net/relea....html#wp113333

[mickael.guilbert]

Merci, ca à l'air pas mal.
Mais je ne vois pas comment faire un client (en php par exemple) qui s'authentifie...

[_Mac_]

Utilise SAML ?

[mickael.guilbert]

je vais aller voire ça, merci.
sinon je pensais utiliser les Realm comme expliqué dans http://psecheresse.developpez.com/tu...va-ee/secured/
mais avec les annotations sur les web services.

[mickael.guilbert]

bon, ca commence à me gaver.
j'ai un webservice annoté comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
@DeclareRoles("partenaire")
@WebService(serviceName="HotelService")
public class HotelService {
    @EJB() HotelRemote hotelR;
 
    public List<Dispo> getDispos(	@WebParam(name = "hotelId")String hotelId, 
                                        @WebParam(name = "dateDebutDDMMYYYY")String dateDebut, 
                                        @WebParam(name = "dateFinDDMMYYYY")String dateFin) throws MetierException
 
    @RolesAllowed("partenaire")
    public List<Client> getClients(	@WebParam(name = "hotelId")String hotelId, 
                                        @WebParam(name = "clientName")String clientName, 
                                        @WebParam(name = "clientId")String clientId, 
                                        @WebParam(name = "clientCreditCard")String clientCreditCard, 
                                        @WebParam(name = "dateRechercheDDMMYYYY")String dateRechercheDDMMYYYY) throws MetierException
....

Pour avoir un control d'identité, j'ai etais obligé d'ajouter dans mon web.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<security-constraint>
        <display-name>Constraint1</display-name>
        <web-resource-collection>
            <web-resource-name>WRCollection</web-resource-name>
            <description/>
            <url-pattern>/HotelService</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
            <http-method>HEAD</http-method>
            <http-method>PUT</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>DELETE</http-method>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>partenaire</role-name>
            </auth-constraint>
        <user-data-constraint>
            <description/>
            <transport-guarantee>NONE</transport-guarantee>
        </user-data-constraint>
        </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>file</realm-name>
        </login-config>
    <security-role>
        <description/>
        <role-name>partenaire</role-name>
    </security-role>

du coup il faut que je sois authentifié sur toutes les requetes mappant l'url alors que je ne veux de l'authentification que sur la methode annotée (getClients).

Si j'enleve l'url pattern, je n'ai plus de test d'authentification.

j'ai aussi defini un utilisateur appartenant au group dans la conf de glassfish (file-realm)

quelqu'un a un tutoriel autre que celui de sun sur les appli jee ?
ou une idée ?

Et si quelqu'un à un exemple de client php qui s'authentifie (aupres de quelle URL ?) puis appel un service ??