Discussion :

[legummy]

Bonjour,

Je voudrai créer un site web pour lequel l'utilisateur doit être identifier.
Deux types d'utilisateurs sont pris en compte : super utilisateur, et utilisateur simple. le premier ayant des droits suplémentaires.

J'ai pensé à la solution suivante:

_ L'utilisateur rentre son login et son mot de passe dans une form.
_ Ces données sont transmises à une servlet qui se connecte à une BD pour vérifier que ces infos sont conformes.
_ Si elles sont conformes, la servlet crée un HttpSession avec le statu de l'utlisateur en attribut (super utilisateur ou utilisateur) ainsi que son nom (pour avoir un affichage personnalisé) puis elle renvoie à une autre servlet.
_ Cette 2eme servlet vérifie qu'une session a été créée. Si oui, la page s'affiche (en tenant compte des droits de l'utlisateur) sinon l'acces est refusé.
Et ainsi de suite...

Est-ce que le niveau de sécurité assuré par un tel système est valable?
Je crois que le HttpSession est stocké directement sur le PC de l'utilisateur alors je me demandais si un utilisateur peut-il modifier son HttpSession pour s'ajouter des droits qu'il n'a pas?

Ou sinon, quel est le mode habituellement utilisé pour un tel site?


Merci pour votre aide

[OButterlin]

Tu confonds un peu...
L'objet HttpSession est un conteneur, ce sont des attributs que tu positionnes dans son scope.
Ce qui est stocké côté client, c'est l'id de la session, pas les attributs qu'elle contient.

Question sécurité, ça n'est certainement pas la panacée, mais ça doit être suffisant. Pour modifier l'attribut en session, il faudrait un programme ou une servlet côté serveur...

A+

[legummy]

Merci pour ta réponse.

Et sinon, il y a d'autres solutions pour tracker un utilisateur?

[sewatech]

Bonjour,

La plupart des solutions tournent autour de la tienne. Elles stockent le user en session, ou équivalent, mais le font de façon plus ou moins automatique. Surtout, les solutions prêtes à l'emploi fournissent des techniques pour rechercher les informations d'authentification dans des sources diverses (LDAP, base de données, fichiers,...).

Les techniques les plus classiques sont JAAS et Acegi Security. La première est directement intégrée dans les serveurs d'applications, la deuxième (ma préférée) est intégrable dans les applications Web et apporte plus de souplesse, mais peut-être aussi plus de complexité.

a+

Alexis