Bonjour,

Je suis entrain de travailler sur une application qui est structurée comme suit :
- Des pages JSP pour le client
- Apache -> (mod_jk) -> Tomcat qui hébege les servlets
- Des EJB avec JOnAS

Pour résumer, l'application offre certains services qui requirent que les clients s'authentifient pour gérer certaines actions. L'authentification se fait par formulaire.

Il y'a quelques heures, je ne connaissais rien aux JSP, maintenant c'est un peu différent Donc, j'ai lu quelques tutos qui parlent de l'authentification avec JSP mais cà ne rentre pas vraiment dans ce que je cherche à faire.

Les tutos utilisent j_security_check, j_username et j_password comme des champs du formulaire et configurent un Real au niveau de Tomcat. En gros, apparemment, la vérification d'identité se fait au niveau de Tomcat, ce qui ne m'arrange pas.

J'avais prévu un schéma comme ceci :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
 
 
Client -> Servlet -> EJB Facade (avec Etat) -> EJBs Entités -> BD
                                       ^
                                       |  (C'est ici qu'on vas sauvegarder l'info comme  quoi le client est authentifié ou non)
---------------------------------------
Donc, c'est au niveau de mon EJB Entité qu'on vérifie si l'utilisateur a fournit un couple utilisateur/mot de passe correct.

Maintenant, la question

Je dois tout gérer à la main ou est-ce qu'il existe un moyen de tirer parti du mécanisme de j_security_check, notamment pour sécuriser mes pages et gérer l'autorisation à certaines pages(config dans server.xml qui redirige un client vers la page de login quand il n'est pas authentifié par exemple) ? Est-ce qu'il y'a un framework ou autre (je n'en connais pas beaucoup en Java) me permettant d'avoir l'architecture ci-dessus sans avoir à "réinventer la roue" ? Et enfin, avez-vous un commentaire (constructif) sur cette architecture ?

Merci