Discussion :

[Jonathan.Harvey]

Bonjour ,

J'ai à protèger certains fichier ( .pdf , image ..etc.. ) qui seront dans un ou plusieurs dossier de mon site web .

Actuellement mes pages .jsp sont protèger par la sécurité et la validation de struts , par contre pour des pages qui ne requièrent pas d'appel d'actions disont que la personne pointe directement sur mon répertoire /images/photo.jpg , il n'y à rien qui l'empêcher de voir le contenu. Même chose pour tout mes fichier n'ayant pas à appeler des .class donc qui ne passent pas par la validation de session // rôle.

On ma dit que c'étais possible de définitir une validation sur des dossiers , je sait qu'en php il existe les .htaccess mais il paraît qu'il serait possible en jsp aussi d'établir une sécurité sur des dossiers , on ma vaguement parlé d'OID et de LDAP mais c'étais très vague. Quelqu'un aurait une petite idée , une petite piste qui pourrait m'aider à m'orienter dans ma rechercher d'une solution ? J'ai chercher sur votre site // FAQ et je n'y ait rien trouvé traitant de ce cas particulier !

En vous remerciant ,

Jonathan

[Jonathan.Harvey]

Je croit avoir une piste... web.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<security-constraint>
   <web-resource-collection>
   <web-resource-name>Ressource protégée</web-resource-name>
    <url-pattern>/fichier/*</url-pattern>
    <http-method>GET</http-method>
    <http-method>POST</http-method>
   </web-resource-collection>
   <auth-constraint>
     <role-name>admin</role-name>
   </auth-constraint>		
</security-constraint>

Sa semble fonctionner pour empêcher l'accès car lorsque j'essaie d'y accèder j'ai droit à un bel erreur HTTP 403, le hic c'est que lorsque je suis sensé pouvoir y accèder , j'ai quand même le HTTP 403 !
J'ai fait un <%= session.getAttribute("role") %> et j'ai bel et bien le rôle admin.

Mon erreur pourrait être ailleurs ?

Merci encore.

[tchize_]

pour savoir si t'as le role admin, la commande c'est

request.isUserInRole("admin");

[Jonathan.Harvey]

Ah d'accord ,

Finalement je n'ai aucun des rôles que je croyais avoir pourtant je dois être administrateur pour pouvoir accèder au site .

<set-property property="role" value="Administrateur"/>

Es-ce qu'il y a moyen de savoir quel role j'ai ?

[tchize_]

heu, a mon avis tu confond les roles au sens ou l'entends tomcat, c'est à dire des informations déterminée par le realm utilisé pour l'authentification, et une propriété "role" que tu défini dans la session (et qui a rien à voir).

Quel système utilise-tu pour l'authentification?

[Jonathan.Harvey]

Honnêtement c'est une excellente question , mais c'est vrai que les rôles sont défini dans une class d'authentification qui valide si l'user//mdp sont bons , crée un attribut session de type role contenant un role administrateur ou utilisateur.

De plus , je ne suis pas sous tomcat mais sous le serveur d'application d'Oracle ( Oracle OAS ) et je n'ai pas développer ce site c'est des consultants donc je ne peux que supposer qu'ils gère les roles dans cette class car rien n'indique le contraire....