IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Servlets/JSP Java Discussion :

Interdire des JSP


Sujet :

Servlets/JSP Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre Expert Avatar de Fench
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Mai 2002
    Messages
    2 353
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Groenland

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Mai 2002
    Messages : 2 353
    Par défaut Interdire des JSP
    Bonjour,

    J'ai une application avec plusieurs pages JSP mais le pb est que des utilisateurs peuvent saisir une URL de mon arborescence (ex MonApli/Accident) sans passer par ma page d'accueil et d'identification.

    Pour sécuriser l'appli, il faudrait que certaines pages ne soient accessibles que si l'utilisateur est identifié.

    Merci

  2. #2
    Membre Expert
    Profil pro
    Inscrit en
    Août 2006
    Messages
    3 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 3 276
    Par défaut
    Tu peux aussi mettre tes jsp dans le répertoire WEB-INF dont l'accès direct, par navigateur, est interdit.

  3. #3
    Membre Expert Avatar de Fench
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Mai 2002
    Messages
    2 353
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Groenland

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Mai 2002
    Messages : 2 353
    Par défaut
    Oups

    Excuses moi en fait je voulais parler des Servlets (les controleurs de l'application) car tous mes JSP sont dans Web-INF

    Merci

  4. #4
    Membre Expert
    Profil pro
    Inscrit en
    Août 2006
    Messages
    3 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 3 276
    Par défaut
    Dans ce cas là, il faut mettre en place une politique de sécurisation de tes pages à partir de ton web.xml.
    Voici un exemple:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
     
    <security-constraint>
            <web-resource-collection>
                <web-resource-name>Secure Content</web-resource-name>
                <url-pattern>/</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                <role-name>admin</role-name>
            </auth-constraint>
            <user-data-constraint>
                <transport-guarantee>NONE</transport-guarantee>
            </user-data-constraint>
        </security-constraint>
     
        <login-config>
            <auth-method>BASIC</auth-method>
        </login-config>
     
        <security-role>
            <description>The role required to access restricted content </description>
            <role-name>admin</role-name>
        </security-role>
    Tu as une partie qui définit la façon de t'authentifier (login-config), une partie qui définit les rôles (security-role) et une partie qui définit les pages que tu veux protéger (security-constraint).

  5. #5
    Membre Expert Avatar de Fench
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    Mai 2002
    Messages
    2 353
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Groenland

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Mai 2002
    Messages : 2 353
    Par défaut
    Oui j'ai étudié le cas du fichier web.xml mais je ne veux pas utiliser les logins de Tomcat, j'effectue un login en identifiant les utilisateurs via LDAP.

    Alors je veux bien changer le mode de login "BASIC" en "FORM" mais alors il faudrait protéger les ressources que pour les gens autorisés via LDAP
    et j'ai peur que cette partie du fichier web.xml
    <auth-constraint>
    <role-name>admin</role-name>
    <role-name>user</role-name>
    </auth-constraint>

    ne soit plus bonne !!!!

  6. #6
    Membre Expert
    Profil pro
    Inscrit en
    Août 2006
    Messages
    3 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2006
    Messages : 3 276
    Par défaut
    Toutes les rubriques ne sont pas obligatoires dans le web.xml.
    Il faut voir si on peut protéger toutes les pages, sans pour autant avoir défini de roles.

    Pour ton authentification LDAP, cela ne pose pas de problème, ça se configure dans ton serveur d'application.

Discussions similaires

  1. Détecter l'activation de Javascript avec des JSP
    Par TonioLeRital dans le forum Servlets/JSP
    Réponses: 4
    Dernier message: 10/11/2005, 09h31
  2. [Plugin][JSP]Coloration syntaxique des jsp
    Par tibouchou dans le forum Eclipse Java
    Réponses: 2
    Dernier message: 06/11/2005, 18h35
  3. [JSP][Tomcat] : forcer la compilation des jsp.
    Par Ekros dans le forum Tomcat et TomEE
    Réponses: 5
    Dernier message: 29/04/2004, 11h27
  4. [TOMCAT] Lancement des JSP, servlets
    Par sylvain_neus dans le forum Tomcat et TomEE
    Réponses: 4
    Dernier message: 22/03/2004, 10h03
  5. [ECLIPSE]Compilation des JSP
    Par partyboy dans le forum Eclipse Java
    Réponses: 6
    Dernier message: 03/09/2003, 21h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo