Discussion :

[tokamak]

Bonjour,

Je développe une application Struts 1.2.9 et je souhaiterai implémenter un mécanisme d'authentification et de gestion des autorisations.

J'ai une action qui permet aux utilisateurs de s'authentifier avec leur login/mot de passe.

Pour gérer les autorisations dans l'application quelle solution est la meilleure d'après vous et pourquoi :
- Implémenter un ServletFilter déclaré dans le Web.xml et chargé de vérifier que le user est bien connecté
- Etendre le TilesRequestProcessor de Struts et redéfinir sa méthode isUserConnected()

Merci pour vos réponse.

[OButterlin]

Les 2 fonctionneront, mais j'ai une préférence pour le filtre en positionnant correctement l'attribut <url-pattern>.

Sinon, on peut également créer une classe abstraite étendant Action ou DispatchAction ou LookupDispatchAction et faire le traitement dans la méthode execute.
Ensuite, il suffit de faire étendre tes actions de cette classe et ça fonctionnera.
L'avantage de cette méthode réside dans le fait que tu vas centraliser des traitements communs à toutes tes requêtes (comme par exemple l'enregistrement de la sortie dans une pile, l'acquisition et la libération de ressources etc...)
Voici un exemple (DispatchAction) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
@Override
public ActionForward execute(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response)
        throws Exception
{
    long debut = System.currentTimeMillis();
    String parameterName = null;
    String methodName = null;
 
    try
    {
        if ( request.getUserPrincipal() == null ) throw new Exception("Not authenticated");
 
        parameterName = mapping.getParameter();
        if (parameterName == null) throw new IllegalArgumentException("illegal parameter");
 
        methodName = request.getParameter(parameterName);
        if (methodName != null && ("execute".equals(methodName) || "perform".equals(methodName))) throw new IllegalArgumentException("illegal parameter");
 
        forward = super.execute(mapping, form, request, response);
 
        registerOutput(mapping, form, request, response, methodName);
    }
    catch (Throwable t)
    {
        logger.error(t.toString()); 
        request.setAttribute("EXCEPTION_MESSAGE", t.toString());
        forward = mapping.findForward(FORWARD_ERROR);
    }
 
    request.setAttribute("EXECUTION_TIME", new Long(System.currentTimeMillis() - debut).toString());
 
    return forward;
}

A+

[azerr]

Bonjour

En ce qui me concerne, je gere la securite dans le RequestProcessor. Le RequestProcessor est le point d'entree d'une application Struts. Le RequestProcessor est appele avant Action, DispatchAction, LookupDispatchAction donc je pense qu'il vaut mieux faire le traitement dans le RequestProcessor. Ca evite par exemple l'etape de population du formulaire (voir les etapes du RequestProcessor) ...avant d'appeler l'action.

Concernant le ServletFilter, ca peut se faire aussi comme ca, mais personnelement je prefere avoir un point d'entree unique (RequestProcessor) dans mon application et pas a avoir a gerer 2 classes.

Je profite d'ailleurs du RequestProcessor pour mettre dans une ThreadLocale le user en HTTP session, ce qui permet ensuite d'acceder a l'utilisateur sans avoir le contexte HTTP session.

Angelo

[tokamak]

Merci pour vos réponses !

Finalement j'ai choisit d'utiliser un Servlet Filter qui me permet de vérifier que l'utilisateur est connecté que pour certaines URL requétées.