Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Interdire des JSP
Bonjour,
J'ai une application avec plusieurs pages JSP mais le pb est que des utilisateurs peuvent saisir une URL de mon arborescence (ex MonApli/Accident) sans passer par ma page d'accueil et d'identification.
Pour sécuriser l'appli, il faudrait que certaines pages ne soient accessibles que si l'utilisateur est identifié.
Merci
Tu peux aussi mettre tes jsp dans le répertoire WEB-INF dont l'accès direct, par navigateur, est interdit.
Oups
Excuses moi en fait je voulais parler des Servlets (les controleurs de l'application) car tous mes JSP sont dans Web-INF
Merci
Dans ce cas là, il faut mettre en place une politique de sécurisation de tes pages à partir de ton web.xml.
Voici un exemple:
Tu as une partie qui définit la façon de t'authentifier (login-config), une partie qui définit les rôles (security-role) et une partie qui définit les pages que tu veux protéger (security-constraint).
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Oui j'ai étudié le cas du fichier web.xml mais je ne veux pas utiliser les logins de Tomcat, j'effectue un login en identifiant les utilisateurs via LDAP.
Alors je veux bien changer le mode de login "BASIC" en "FORM" mais alors il faudrait protéger les ressources que pour les gens autorisés via LDAP
et j'ai peur que cette partie du fichier web.xml
<auth-constraint>
<role-name>admin</role-name>
<role-name>user</role-name>
</auth-constraint>
ne soit plus bonne !!!!
Toutes les rubriques ne sont pas obligatoires dans le web.xml.
Il faut voir si on peut protéger toutes les pages, sans pour autant avoir défini de roles.
Pour ton authentification LDAP, cela ne pose pas de problème, ça se configure dans ton serveur d'application.
Répondre avec citation
Partager