Discussion :

[Delphives]

Bonjour,

Voila mon problème :
j'aimerais faire une petite appli web avec le fonctionnalités suivantes :

- application avec technologie jsf
- lors du lancement de l'application, la page d'accueil doit etre welcome.jsp
- si l'utilisateur s'est authentifié, il est directement redirigé vers la page welcome.jsp qui affiche son nom, sinon il atterit sur la page login.jsp
- lors de la validation dans login.jsp, c'est la méthode d'une classe (appelée par le bouton) qui va récupérer le nom d'utilisateur + mot de passe et qui va le comparer à des valeurs dans un fichier contenant les combinaisons user+password. si l'authentification est correcte, redirection vers welcome.jsp avec un lien pour se déconnecter (logout.jsp).

mon soucis n'est pas l'algorithme de la classe qui va permettre l'authentification ou non, mais de savoir ce que la fonction doit retourner ou effectuer si le login ok ou non.

merci d'avance pour votre aide, car j'ai de la peine à trouver un exemple sur le web qui ressemble à ce que je recherche.

++

[littlewing1112]

Bonjour,
a mon avis tu devrais regarder du cote de JAAS et des pricipes d'identification et d'autorisation JAVA EE.
Jettes un coup d oeil sur la doc tomcat sur la mise en oeuvre d un realm
http://tomcat.apache.org/tomcat-6.0-...alm-howto.html
et sur la reference de SUN
http://java.sun.com/j2se/1.4.2/docs/...als/index.html

C est assez impressionnant au début, mais en fait c'est assez simple à configurer (web.xml et serveur)

bon courage

[Delphives]

Bonjour,

merci pour ces liens. A tout hasard, connaisseriez-vous une adresse où je puisse télécharger un petit exemple de ce que je cherche. Cela me parait étrange que personne n'aie parler de ça auparavant.

merci et bonne journée

[rimy2mi]

tu crée un managed bean "Auth" de scope session qui a comme attributs login et pass, et une methode "authentifier" qui verifie les login et pass et retourn un String qui prend deux valeurs: si login et pass sont valides elle retourne un string qui doit etre déclaré dans une navigation-rule dans faces-config.xml, et qui mène vers ta welcome.jsp. Sinon elle retourne un autre string qui doit etre déclaré dans une navigation-rule dans faces-config.xml, et qui mène vers ta login.jsp
c'est aussi simple que ça

[zerocoolyoussef]

oui mais si on tape le URL de la page sécurisé directement que ce qui se passera?

[FunkyBreizh]

Je crois que JSF permet de configurer les pages dont tu veux interdire l'accès en tapant l'adresse justement, ça se trouve dans le fichier web.xml. Je ne suis pas tout à fait sur, je ne l'ai jamais fait.

[zerocoolyoussef]

est ce qu'on met les utilisateurs et les rôles dans le serveur d'application ou il suffit de les mettre dans une base de données quelle est la solution la plus judicieuse??

[diamss]

Personnellement je te préconise JBoss Seam si tu as une BDD (EJB3). Tu auras un système de login simple et la possibilité de gérer les comportements lors de la tentative d'accès à une page avant et après login avec ou sans JBPM.

Voici un exemple :

http://www.nofluffjuststuff.com/blog...with_seam.html

[piopium]

Pour ma part, j'ai "expérimenté" plusieurs petits trucs pour sécurisé des pages.
Le premier consiste à bloquer l'accès aux pages sécurisé pour la méthode GET en ajoutant au fichier web.xml une règle de sécurité. Voici un exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 <security-constraint>
        <web-resource-collection>
            <web-resource-name>Restrict access to JSP pages</web-resource-name>
            <url-pattern>/admin/*</url-pattern>
            <http-method>GET</http-method>
 
        </web-resource-collection>
        <auth-constraint>
            <description>With no roles defined, no access granted</description>
        </auth-constraint>
    </security-constraint>

Donc toutes les pages de mon répertoire /admin seront inaccessibles si tu tapes l'adresse directement.

Le deuxième, qui peut se combiner au premier, est de travailler avec un phase listener. Après la phase de restauration de la page (la première phase) on vérifie l'existence de la session, si elle n'existe pas on utilise un navigationHandler qui va, via une navigation rule, rediriger l'utilisateur vers la page voulue.

La troisième solution que je vois est d'utiliser un filtre dont l'url pattern est du genre "/admin/". Si la session n'existe pas, alors on redirige.