Discussion :

[cyrille37]

Bonjour,

Je me demande comment ce résoud le problème suivant avec .Net:

Sur une architecture 3 tiers, il y a en 1er le service web qui gère l'interface, et en second les services métiers et chaque couche est hébergée sur des machines distinctes.

Des utilisateurs se connectent via le web, ils obtiennent ainsi une session validée.
Les pages web doivent accéder à la couche métier pour effectuer des opérations. Beaucoup de ces opérations sont liées à l'utilisateur.

Comment faire pour s'assurer qu'un appel depuis une page web à un service de la couche métier est effectué par un utilisateur bien connecté ?
Y-a-t'il une propagation possible de la session entre les couches ?

Bien entendu, les méthodes visibles de la couche métier prennent en paramètre un identifiant d'utilisateur, mais celà n'est pas suffisant.

Je cherche un moyen qui ne soit pas dépendant du bon vouloir du programmeur de page. Un moyen qui serait mis en place au niveau de la configuration qui permetterait aux services métiers de s'assurer que l'appel est effectué par un utilisateur authentifié.

Pour éclaircir : quelque chose comme les "EJB Session" de Java.

Merci pour vos idées
Cyrille.

[rattlehead]

avec Windows Communication Foundation tu peux résoudre ton problème d'accès à différentes machines. je ne vois pas trop pourquoi passer un identifiant est insuffisant pour gérer tes droits? effectivement tu pourrais passer un objet avec certaines données de l'utilisateur, c'est largement suffisant je pense.

[lutecefalco]

Tu peux obtenir tes sessions dans les différentes couches avec le CurrentContext

[cyrille37]

Salut,

Je pense que le système, vu dans son ensemble, doit posséder un et un seul point d'authentification. Ensuite l'utilisateur et ses droits doivent être propagé dans le reste du système.
Un genre de session accessible depuis toute l'architecture.

Sinon, n'importe quel programmeur de page web écrit un appel aux chouches services avec un identifiant d'utilisateur et peut ainsi usurper son identité sans s'être d'abord identifié.

[lutecefalco]

Salut,

Je pense que le système, vu dans son ensemble, doit posséder un et un seul point d'authentification. Ensuite l'utilisateur et ses droits doivent être propagé dans le reste du système.
Un genre de session accessible depuis toute l'architecture.

Sinon, n'importe quel programmeur de page web écrit un appel aux chouches services avec un identifiant d'utilisateur et peut ainsi usurper son identité sans s'être d'abord identifié.

Sauf si tu géres un sessionId en base

[cyrille37]

Tu peux obtenir tes sessions dans les différentes couches avec le CurrentContext

Je ne trouve pas CurrentContext dans l'aide de Visual Studio 2005 Framework .Net 2.
C'est peut être dans WCF ?

[lutecefalco]

Je ne trouve pas CurrentContext dans l'aide de Visual Studio 2005 Framework .Net 2.
C'est peut être dans WCF ?

Non, ça existe bel et bien en 2.0 et même 1.1

[lutecefalco]

Syntaxe exacte:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  HttpContext.Current.Session["nomVariable"]

[cyrille37]

Non, ça existe bel et bien en 2.0 et même 1.1

Heu ... Dans l'aide de VisualStudio 2005, Index, Recherche non filtré, je ne trouve que :
- LicenseManager.CurrentContext
- PCHEvent.CurrentContext
et dans Recherche :
- Thread.CurrentContext
- HttpContext.Current

[lutecefalco]

cf ci-dessus

[cyrille37]

Syntaxe exacte:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  HttpContext.Current.Session["nomVariable"]

Mais ce context n'existe que dans le conteneur web ...

Je vais cogiter tout ça tranquillement.

Merci
et bonne journée

[lutecefalco]

Mais ce context n'existe que dans le conteneur web ...

Non

[cyrille37]

Non

Je ne comprends pas. Peux tu être plus explicite s'il te plaît ?

Rappel: j'ai une machine avec la couche présentation et une autres avec la couche métier. Comment le HttpContext.Current peut être partagé ??

[lutecefalco]

Tes ddl métiers sont exécutées par ton site web non?
Si oui, elles peuvent donc récupérer le context web dans lequel elles sont exécutées

[cyrille37]

Tes ddl métiers sont exécutées par ton site web non?
Si oui, elles peuvent donc récupérer le context web dans lequel elles sont exécutées

Le serveur web est sur une machine avec les pages et controleurs, les DLLs métiers sur une autre machine ...

C'est pas grave, j'ai clot le sujet (marqué Résolu) car à partir des 2 articles que j'ai cité, je vais trouver ma réponse.

en passant je te conseille de les lire ;-) Ca t'apportera qlqs connaissances sur les besoins d'une architecture distribuée.

Merci pour ton aide,
Cyrille