Discussion :

[Invité]

Bonjour,

Nous devons développer un Intranet sans aucuns frameworks. Pour l'instant, la gestion des droits se limite à

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if ( session.getAttribute("Utilisateur")==null ) 
 // Rien à faire ici
else
 // Ok, bonne continuation

Nous avons aussi des groupes auxquels appartiennent des utilisateurs, ce qui nous permet de charger un menu adapté à l'utilisateur.

Evidemment c'est assez limité, nous voudrions plus de possibilité (droits en lecture et/ou écriture sur la page)

Existe t'il des classes de l'API standard nous permettant de faire une gestion des droits digne de ce nom ?

Merci

[grishka]

ca dépend des contraintes de sécurité imposées...car il y a plusieurs niveau de restriction d'accès

JEE propose les security constraint + realm, mais ca reste assez limité. Tu ne protège que des url et de manière basique. C'est surtout utilisé pour restreindre l'accès à l'application (via une page de login) et non aux fonctionnalités. Pour gérer la restrictions aux fonctionnalités (cad lorsque l'utilisateur clique sur un item de menu, un lien ou un bouton, ou tape l'url dans le navigateur) , le mieux est de créer un filtre de servlet qui contrôle l'accès depuis un référentiel où sont stockés les url avec les roles autorisés par exemple (le référentiel peut être une base de donnée, un fichier plat ou xml).
Certains serveurs d'appli. permettent de sécuriser l'accès aux méthodes des ejb également.

Maintenant les restrictions d'accès au niveau du formulaire n'ont pas normalisées dans JEE me semble t-il. Car c'est assez dépendant des choix ergos (champ invisible ou non editable?). Tu trouveras qq ch d'évolué dans des frameworks comme struts + struts-layout ou struts + formview, qui permettent de définir une page + règles d'affichage selon le role de l'utilisateur et selon différentes granularité (un champ input devient une balise span si le role=utilisateur).

[Invité]

ca dépend des contraintes de sécurité imposées...car il y a plusieurs niveau de restriction d'accès

Ben pour nous c'est avoir (ou pas) un bouton "editer" devant une communication, un document, etc.. et les droits (ou pas) d'être sur une page.

Pour gérer la restrictions aux fonctionnalités (cad lorsque l'utilisateur clique sur un item de menu, un lien ou un bouton, ou tape l'url dans le navigateur) , le mieux est de créer un filtre de servlet qui contrôle l'accès depuis un référentiel où sont stockés les url avec les roles autorisés par exemple (le référentiel peut être une base de donnée, un fichier plat ou xml).

Pour beaucoup de modules nous utilisons un "contrôleuse" qui use et abuse de RequestDispatcher.forward() pour afficher des JSP ou autres Servlets. Le contrôle de savoir si l'utilisateur à la droit d'être la ou pas peux se faire dans cette "contrôleuse" mais les jsp restent toujours accessibles (bien que d'aucunes utilités). Et surtout, cela ne nous permet pas de savoir si la bouton "editer" peut-être affiché ou pas.

Certains serveurs d'appli. permettent de sécuriser l'accès aux méthodes des ejb également.

Maintenant les restrictions d'accès au niveau du formulaire n'ont pas normalisées dans JEE me semble t-il. Car c'est assez dépendant des choix ergos (champ invisible ou non editable?). Tu trouveras qq ch d'évolué dans des frameworks comme struts + struts-layout ou struts + formview, qui permettent de définir une page + règles d'affichage selon le role de l'utilisateur et selon différentes granularité (un champ input devient une balise span si le role=utilisateur).

Oui je me doute que des Frameworks ou Serveurs permettent de faire dans le finesse mais nous ne pouvons pas utiliser ces outils !!!

Je crois que pour le moment nous resterons avec des tests de droits limités.

Merci.

[azerr]

Bonsoir,
je viens de voir votre message et je ne sais pas si cela vous servira.
Je suis le createur du projet Formview qui ne depend pas d'un framework (Struts, JSF...). Il peut etre utilise cependant avec struts.

En d'autres termes Formview fonctionne avec n'importe qu'elle framework qui genere du HTML. Le principe est d'englober la partie de la page HTML qui doit etre gere en fonctions des roles utilisateurs, etats...par la taglib <formview:page>. La classe utilitaire WEBFormViewUtil permet ensuite de gerer les etats des champs (lecture, invisible...).

Si vous avez des questions n'hesitez pas a me les poser.

Angelo

[Invité]

Bonjour,

Mon post est resté longtemps sans réponses car le projet est tombé à l'eau. Par contre je suis sur un nouveau projet ou je compte utiliser soit Spring soit Wicket pour mes vues (et Spring pour tout le reste).
Votre solution m'intéresse beaucoup mais peut-elle également fonctionner avec l'une des deux solutions précitées ?

Merci

[azerr]

Bonjour Blaise1,

FormView peut etre utilise avec Struts avec un Plugin (ce qui ne vous interesse pas) ou une Servlet HTTP standard (ce qui vous interesse).

Je ne connais pas Spring MVC, mais si il y a des fichier de validation XML (comme Struts), ca pourrait etre interessant de fusionner ces infos avec la config Formview, pour centraliser les infos sur les champs (date, maxlength...) au meme endroit comme ce qui a ete fait avec Struts.

En esperant que FormView vous conviendra, bonen chance.

Angelo