Discussion :

[Delphives]

Bonjour,

je recherche désespérément un exemple de code jsf avec les fonctionnalités suivantes :

- une page de login, si la connexion est ok on est redirigé sur une (des) page(s) sécurisée(s) qui ne peut pas être atteinte si l'on est pas logué. puis une méthode pour se déloguer afin que l'on ne puisse plus accéder à la page sécurisée.

J'ai fait pas mal le tour de sites concernant ma question, mais je tombe toujours sur des exemples hyper complexes, et pour ma part je souhaite avoir un exemple simple.

merci d'avance

[Jexou]

As-tu cherché du côté des filtres?

Lorsque tu configures un filtre dans ton application , ce dernier est appelé à chaque load d'une page. Tu peux ainsi définir tes règles de filtre et en fonction rediriger.

Tu peux par exemple dans ton filtre , vérifier si il existe un objet dans la session. Cet objet tu l'initialise seulement par la page de login.

Donc si il est présent , ok il peut acceder à la page.

Sinon tu redirige vers la page de login.

Je n'ai pas d'exemple sous la main mais je sais que netbeans te propose d'en creer très facilement.

[heid]

1 - Utilises JAAS
2 - La page de login est un formulaire qui pointe vers une servlet d'authentification de ton serveur d'app.
4 - c'est dans le web.config que tu détermines les règles d'accès et la page de login.
5 - Une fois connecté tu sais qui est connecté grâce à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

FacesContext.getCurrentInstance().getExternalContext().getUserPrincipal();

6 - Pour te déconnecter tu peux invalider la session avec ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
/**
         * Déconnecte l'utilisateur par invalidation de la session
         * 
         * @return rien
         */
	public String doLogOut() {
		FacesContext context = FacesContext.getCurrentInstance();
		ExternalContext ec = context.getExternalContext();
 
		final HttpServletRequest request = (HttpServletRequest) ec.getRequest();
		request.getSession(false).invalidate(); // on invalide
 
		return "LogOut";
 
	}

7 - Pour gérer tes utilisateur c'est avec ton serveur que tu gères cela, je suis sous Weblogic, je l'ai connecté à un annuaire ldap, c'est weblogic qui gère l'authentification.
8 - Pour les rôles dans tu peux les intégrer dans ton projet ou les faire gérer par ton serveur d'application. Pour savoir si un utilisateur appartient à un rôle utilises :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

FacesContext.getCurrentInstance().getExternalContext().isUserInRole(roleName);

9 - Je te laisse le soin de rechercher dans les ancien post car j'ai déjà expliqué le concept au moins 3 fois.

[djo.mos]

9 - Je te laisse le soin de rechercher dans les ancien post car j'ai déjà expliqué le concept au moins 3 fois.

Un bon candidat pour la FAQ dans ce cas

Si tu le veux bien heid, je te propose d'ajouter une proposition de Q/R dans le thread de participation à la FAQ JSF. Mais sinon, je peux essayer de voir tes posts et d'en extraire quelque chose....

[heid]

Oui c'est clair ce serait même un candidat pour un article, j'avoue être débordé en ce moment donc "wait 4 it" si tu vois ce que je veux dire...

[djo.mos]

... donc "wait 4 it" si tu vois ce que je veux dire...

[Sniper37]

si tu ne veux pas utiliser JAAS, ou l'authentification via le conteneur CSM .(Container Security Management )


pour gerer le logout:

tu peux faire un button dans l'action est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
public String disconnect() {		
FacesContext context = FacesContext.getCurrentInstance().getCurrentInstance();	
HttpSession session = (HttpSession) context.getExternalContext().getSession(true);
session.invalidate();
return "logOut";
}

et dans les navigations rules définir redirigé vers la page souhaité

-Pour gerer le cas de session time out

en JSF 1.2 la réponse est simple:
lors de l'expiration de session uen exception est lancé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

javax.faces.application.ViewExpiredException

il suffit de définir dans le web xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 <error-page>
<exception-type>javax.faces.application.ViewExpiredException</exception-type>
  <location>/exp_session.jsp</location>
 </error-page>

NB: je ne sais pas si une page JSF fonctionne ici..!!

en JSF 1.1 j'avais une solution en richfaces, à l'aide de <a4j:poll/>,
si tu t'utilises richfaces, je te donne la solution complete..

je prépare la réponse dans la FAQ après avoir bien testé le cas de redirection vers une page JSF dans le web.xml..

[Sniper37]

Un bon candidat pour la FAQ dans ce cas

Si tu le veux bien heid, je te propose d'ajouter une proposition de Q/R dans le thread de participation à la FAQ JSF. Mais sinon, je peux essayer de voir tes posts et d'en extraire quelque chose....

au fait pour JAAS, il existe des explications dans la FAQ Java EE

[Sniper37]

je me suis avancé un peu trop vite pour la gestion de l'expiration de session..surtout avec JSF 1.2, l'exception ViewExpiredException n'est pas envoyé au serveur d'application, je ne sais pas si c'est un problème de tomcat/my faces/. ou richFaces.

avec la version myfaces 1.1.5 et richfaces 3.1.4 et facelets 1.1.14 j'utilisais la fonction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
<a4j:region>
		<script type="text/javascript">
                        A4J.AJAX.onExpired = function(loc, expiredMsg) {
                            Richfaces.showModalPanel('sessionExpiredPanel',{width:450, top:200});;
                        };
                    </script>
		<a4j:form>
			<a4j:poll id="sessioncheck" interval="182000" reRender="sessioncheck" />
		</a4j:form>
	</a4j:region>

en passant à myfaces 1.2.2 et richfaces 3.2.0 , impossible de gerer correctement l'expiration de session..(avec mon environnement du moins)
l'erreur suivant s'affiche:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
javax.servlet.ServletException: viewId:/richfaces/dataTable.jsf - View /richfaces/dataTable.jsf could not be restored.

le problème sera reglé dans le prochain release de richfaces, néanmoins, en attendant, j'ai trouvé une solution:
redefinir la classe FaceletsViewHandlers: et redefinir les methodes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
 
public UIViewRoot restoreView(FacesContext context, String viewId) {
		UIViewRoot viewRoot = super.restoreView(context, viewId);
		if (viewRoot == null) {
			viewRoot = createView(context, viewId);
			context.setViewRoot(viewRoot);
			try {
				this.buildView(context, viewRoot);
				context.getExternalContext().getRequestMap().put("session.viewBuilt", getRenderedViewId(context, viewId));
			} catch (IOException ioe) {
				log.log(java.util.logging.Level.SEVERE, "Error Building View", ioe);
			}
		}
		return viewRoot;
	}
 
 
 
/*on fait le build view si cela n'a pas été fait..*/
 
	protected void buildView(FacesContext context, UIViewRoot viewToRender) throws IOException, FacesException {
 
		String viewId = getRenderedViewId(context, viewToRender.getViewId());
		String viewBuilt = (String) context.getExternalContext().getRequestMap().get("session.viewBuilt");
 
		if (viewBuilt == null || !viewId.equals(viewBuilt)) {
			super.buildView(context, viewToRender);
		} else {
                       /** cas ou session expire **/
			HttpServletResponse response = (HttpServletResponse) context.getExternalContext().getResponse();		   			
			response.sendRedirect("login.jsf");
		}
 
	}