Discussion :

[Giovanny Temgoua]

Bonjour,

Je suis entrain de travailler sur une application qui est structurée comme suit :
- Des pages JSP pour le client
- Apache -> (mod_jk) -> Tomcat qui hébege les servlets
- Des EJB avec JOnAS

Pour résumer, l'application offre certains services qui requirent que les clients s'authentifient pour gérer certaines actions. L'authentification se fait par formulaire.

Il y'a quelques heures, je ne connaissais rien aux JSP, maintenant c'est un peu différent Donc, j'ai lu quelques tutos qui parlent de l'authentification avec JSP mais cà ne rentre pas vraiment dans ce que je cherche à faire.

Les tutos utilisent j_security_check, j_username et j_password comme des champs du formulaire et configurent un Real au niveau de Tomcat. En gros, apparemment, la vérification d'identité se fait au niveau de Tomcat, ce qui ne m'arrange pas.

J'avais prévu un schéma comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
 
Client -> Servlet -> EJB Facade (avec Etat) -> EJBs Entités -> BD
                                       ^
                                       |  (C'est ici qu'on vas sauvegarder l'info comme  quoi le client est authentifié ou non)
---------------------------------------

Donc, c'est au niveau de mon EJB Entité qu'on vérifie si l'utilisateur a fournit un couple utilisateur/mot de passe correct.

Maintenant, la question

Je dois tout gérer à la main ou est-ce qu'il existe un moyen de tirer parti du mécanisme de j_security_check, notamment pour sécuriser mes pages et gérer l'autorisation à certaines pages(config dans server.xml qui redirige un client vers la page de login quand il n'est pas authentifié par exemple) ? Est-ce qu'il y'a un framework ou autre (je n'en connais pas beaucoup en Java) me permettant d'avoir l'architecture ci-dessus sans avoir à "réinventer la roue" ? Et enfin, avez-vous un commentaire (constructif) sur cette architecture ?

Merci

[Sniper37]

ouii
y'a d'abord JAAS,
et si tu utilise spring, acegi,
sinon plus simple, utiliser juste tomcat, et les security constraint...

[Giovanny Temgoua]

ouii
y'a d'abord JAAS,

J'ai fait un tour sur la doc. Je suis finalement tombé sur JAASRealm
http://tomcat.apache.org/tomcat-5.5-...html#JAASRealm

qui fait l'authentification au niveau de Tomcat...

Aurais-tu un exemple ou saurais-tu me dire comment intégrer JAAS dans l'architecture que j'ai précisé plus haut ?

et si tu utilise spring, acegi,

Je n'utilise pas cà. "Juste" :
- JSP
- Servlets
- EJBs

avec Apache comme serveur WEB, Tomcat et JOnAS comme conteneurs.

sinon plus simple, utiliser juste tomcat, et les security constraint...

Comme je l'ai dit plus haut, cà ne semble pas convenir à l'architecture souhaitée.

[Sniper37]

Aurais-tu un exemple ou saurais-tu me dire comment intégrer JAAS dans l'architecture que j'ai précisé plus haut ?

voilà un exemple ici:

un autre:

sinon sun tutorials

[Giovanny Temgoua]

voilà un exemple ici:

un autre:

sinon sun tutorials

Je m'y mets

[DevServlet]

Petit rectificatif: si tu dois utiliser des EJBs, Tomcat n'intègre pas de conteneur EJB pour l'instant à moins que les choses aient changé depuis la version 6, moi j'ai pour habitude de coupler EasyBeans (conteneur EJB) à tomcat pour hébérger les Beans, ou simplement Jonas, mais tomcat je pense pas.

[Giovanny Temgoua]

Petit rectificatif: si tu dois utiliser des EJBs, Tomcat n'intègre pas de conteneur EJB pour l'instant à moins que les choses aient changé depuis la version 6, moi j'ai pour habitude de coupler EasyBeans (conteneur EJB) à tomcat pour hébérger les Beans, ou simplement Jonas, mais tomcat je pense pas.

C'est une erreur dans mon texte
Je pensais à JOnAS...

Dans mon 3ème post, je me suis un peu rattrapé :

avec Apache comme serveur WEB, Tomcat et JOnAS comme conteneurs.

J'ai édité mon premier message en conséquence.

Merci