Discussion :

[mrjeronimo]

Bonsoir,

je travaille actuellement sur une application dont l'authentification est gérée via une classe qui interroge la BD en fonction du login et mpd de l'utilisateur, je me demande comment est ce qu'il pt y avoir une faille de sécurité.
Ce qui m'intrigue c'est que je n'utilise aucune API ...
j'ai donc deux questions :
a quoi servent les api de sécurité? pt on s'en passer?
puis je dire que mon appli est sécurisée du moment qu'il n'est point possible d'accèder à l'interface d'administration sans s'être authentifié?

Merci d'avance !

[yolepro]

Bonjour mrjeronimo,

Tu peux très bien avoir une application bien sécurisée sans utiliser les notions standard de sécurité JEE (en faisant des tests sur chaque ressources dynamique par exemple).

La sécurité JEE tel que JAAS n'est la que pour te simplifier la vie et centraliser tous tes appels (parametrage déclaratif dans le web.xml, modification de tes module d'authentification via la console d'administration de ton serveur d'application).

As tu déjà essayer de tester la sécurité de ton application (essayer de te faire passer pour quelqu'un d'autre sans passer par le login, tester les pages via des bookmarks sans t'être authentifié...).