Bonjour,
Je suis entrain de travailler sur une application qui est structurée comme suit :
- Des pages JSP pour le client
- Apache -> (mod_jk) -> Tomcat qui hébege les servlets
- Des EJB avec JOnAS
Pour résumer, l'application offre certains services qui requirent que les clients s'authentifient pour gérer certaines actions. L'authentification se fait par formulaire.
Il y'a quelques heures, je ne connaissais rien aux JSP, maintenant c'est un peu différent Donc, j'ai lu quelques tutos qui parlent de l'authentification avec JSP mais cà ne rentre pas vraiment dans ce que je cherche à faire.
Les tutos utilisent j_security_check, j_username et j_password comme des champs du formulaire et configurent un Real au niveau de Tomcat. En gros, apparemment, la vérification d'identité se fait au niveau de Tomcat, ce qui ne m'arrange pas.
J'avais prévu un schéma comme ceci :Donc, c'est au niveau de mon EJB Entité qu'on vérifie si l'utilisateur a fournit un couple utilisateur/mot de passe correct.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 Client -> Servlet -> EJB Facade (avec Etat) -> EJBs Entités -> BD ^ | (C'est ici qu'on vas sauvegarder l'info comme quoi le client est authentifié ou non) ---------------------------------------
Maintenant, la question
Je dois tout gérer à la main ou est-ce qu'il existe un moyen de tirer parti du mécanisme de j_security_check, notamment pour sécuriser mes pages et gérer l'autorisation à certaines pages(config dans server.xml qui redirige un client vers la page de login quand il n'est pas authentifié par exemple) ? Est-ce qu'il y'a un framework ou autre (je n'en connais pas beaucoup en Java) me permettant d'avoir l'architecture ci-dessus sans avoir à "réinventer la roue" ? Et enfin, avez-vous un commentaire (constructif) sur cette architecture ?
Merci
Partager