Discussion :

[rimy2mi]

bonjour tout le monde,
je veux savoir comment on fait pour vérifier la session avant de manipuler qui que se soit, pour empêcher à un intrus d'accéder à la page via l'url.
je veux aussi savoir comment détruire la session pour déconnecter l'utilisateur, faut il passer par un bean ou on peut faire ça avec jsf?
et merci d'avance

[seddik_saber]

premiere question utilise un filtre qui teste si la session est deja cree sionon redirection vers page de login.
pour la deuxieme tu peux extraire du facecontext la session courante puis tu fais un invalidate

[rimy2mi]

Est ce que vous voulez dire par filtre les filtre jsp?

[seddik_saber]

filtre jsp ??
les classes filter heritant de javax.servlet.Filter (partit de la sepecification des servlet)

[rimy2mi]

Ah oui,
donc si je comprend on doit gérer les sessions "manuellement" on ne peut pas compter sur JSF pour le faire?

[Philcmoi]

si je ne dis pas des bétises ici

[rimy2mi]

j'ai lu le FAQ mais j'ai pas trouvé comment vérifier est ce que la session est la bonne,
le truc que je veux, c'est vérifier la session au début de chaque page: si oui on continue sinon on est redirigé vers l'accueil pour s'authentifier, ma question: est ce qu'on peut le faire avec jsf pour chaque page (sans utiliser un bean)?

[Breezy]

J'ai fait quelque chose qui ressemble à ce que tu veux faire.

J'ai une page login.jsp avec un formulaire demandant login et mot de passe.
J'ai un bean (session) associé qui appelle une classe d'authentification pour verifier les login/mdp de l'utilisateur et qui renvoi une String pour rediriger l'utilisateur vers la page suivante en cas de succès ou rester sur login en cas d'échec (à configurer dans le faces-config avec des règles de navigation) et qui met à jour un booléen de mon bean associé à la page login.jsp.
Puis dans toutes mes pages jsp sauf login, j'inclue une page jsp qui, grace à la lib JSTL, fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="std"%>
 
 
	<std:if test="${!auth.login}">
		<std:redirect url="./login.jsf" />
	</std:if>

auth etant le nom de mon bean associé à la page login.jsp et login mon booléen.

Cela fonctionne très bien.
J'ai cru comprendre que c'était cà que tu appelais "controler la session".

Et pour gérer la deconnexion :

un commandLink qui appelle cette méthode

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
	public String deconnexion(){
		((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate();
		return "deconnecte";
	}

[djo.mos]

Bonjour,
http://blog.developpez.com/djo-mos?t...ees_dans_jsf_r

[Hicha-M]

J'ai fait quelque chose qui ressemble à ce que tu veux faire.

J'ai une page login.jsp avec un formulaire demandant login et mot de passe.
J'ai un bean (session) associé qui appelle une classe d'authentification pour verifier les login/mdp de l'utilisateur et qui renvoi une String pour rediriger l'utilisateur vers la page suivante en cas de succès ou rester sur login en cas d'échec (à configurer dans le faces-config avec des règles de navigation) et qui met à jour un booléen de mon bean associé à la page login.jsp.
Puis dans toutes mes pages jsp sauf login, j'inclue une page jsp qui, grace à la lib JSTL, fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="std"%>
 
 
	<std:if test="${!auth.login}">
		<std:redirect url="./login.jsf" />
	</std:if>

auth etant le nom de mon bean associé à la page login.jsp et login mon booléen.

Cela fonctionne très bien.
J'ai cru comprendre que c'était cà que tu appelais "controler la session".

Et pour gérer la deconnexion :

un commandLink qui appelle cette méthode

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
	public String deconnexion(){
		((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate();
		return "deconnecte";
	}

Serait il possible de nous montrer ton JavaBean auth?merci

[Breezy]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
 
package com.xxxx.presentation.bean.authentification;
 
import java.util.List;
 
import javax.faces.application.FacesMessage;
import javax.faces.context.FacesContext;
import javax.servlet.http.HttpSession;
 
import com.xxxx.Collaborateur;
import com.xxxx.authentification.Bind;
import com.xxxx.dao.CollaborateurHome;
 
public class User {
 
	private String trigramme;
	private String password;
	private boolean login = false;
 
	public User() {}
 
	public String getTrigramme() {
		return trigramme;
	}
 
	public void setTrigramme(String trigramme) {
		this.trigramme = trigramme;
	}
 
	public String getPassword() {
		return password;
	}
 
	public void setPassword(String password) {
		this.password = password;
	}
 
	public boolean getLogin() {
		return login;
	}
 
	public void setLogin(boolean login) {
		this.login = login;
	}
 
	public String login(){
		String result = "echoue";
		CollaborateurHome ch = new CollaborateurHome();
		FacesContext context = FacesContext.getCurrentInstance();
		List<Collaborateur> colList = ch.findByProperty("nom", getTrigramme(), "Collaborateur");
		if (getTrigramme()==""){
			String messNomVide = "Le nom utilisateur ne peut être vide";
			FacesMessage messageNomVide = new FacesMessage(FacesMessage.SEVERITY_ERROR,messNomVide,messNomVide);
			context.addMessage("login:validateLogin", messageNomVide);
		}else if (getPassword()==""){
			String messPasswdVide = "Le mot de passe ne peut être vide";
			FacesMessage messagePasswdVide = new FacesMessage(FacesMessage.SEVERITY_ERROR,messPasswdVide,messPasswdVide);
			context.addMessage("login:validateLogin", messagePasswdVide);			
		}else if (colList.isEmpty()){
			String messNonAuthorise = "Vous n'êtes pas autorisé à vous connecter";
			FacesMessage messageNonAuthorise = new FacesMessage(FacesMessage.SEVERITY_ERROR,messNonAuthorise,messNonAuthorise);
			context.addMessage("login:validateLogin", messageNonAuthorise);
		}else{
 
			int resultConnection = Bind.connexion(getTrigramme(), getPassword());
			if (resultConnection == 1){
				setLogin(true);
				result = "authentifie";
			}else if (resultConnection == 2){
				String messErreur = "Erreur dans voter nom d'utilisateur ou votre mot de passe";
				FacesMessage messageErreur = new FacesMessage(FacesMessage.SEVERITY_ERROR,messErreur,messErreur);
				context.addMessage("login:validateLogin", messageErreur);			
				setLogin(false);
				result = "echoue";
			}else if (resultConnection == 3){
				setLogin(true);
				result = "authentifie";
			}
//			log.debug("User - login : valeur de result = "+result);
		}
		return result;
	}
 
	public String deconnexion(){
		((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate();
		return "deconnecte";
	}
 
}

Le Bind.connexion est une methode static de la class Bind qui interroge notre activeDirectory (ou LDAP) pour verifier le passwd de l'utilisateur.

[Mr-Mobou]

Merci Amigo pour les réponces