Discussion :

[Viscapon]

Bonjour à tous

Je viens de réaliser une application j2ee avec struts et hibernate,
et je suis sur le point de déployer cette application web en intranet dans une entreprise (en mode client/serveur) .

MAIS , je me suis appreçus que le mode d'authentification ne sert absolument à rien et mon application est non sécurisée,je m'explique :

En premier lieu j'ai une page login qui mène sur 4 pages jsp selon le statut de l'utilisateur ,et biensur si le compte saisis est erroné la page de login ne mènera null part .

le problème que cette page de login est facilement évitable il suffit de saisir comme url :

http://localhost:8080/Report/pagecible1.jsp

et on accdera à la page 1 .

Donc si quelqu'un pourrais m'aider pour comment obliger l'utilisateur de passer par la page Login au lieu de taper les URLs des pages de mon application par ci et par là .

Merci.

[David Gimelle]

Bonjour,

Ceci se configure dans le fichier web.xml. Avec la balise <security-constraint>
Tu trouveras des infos dans le faq de developpez.com : http://java.developpez.com/faq/struts/?page=security

David Gimelle
Developpeur J2ee
blog: http://getj2ee.over-blog.com

[OButterlin]

Il y a également la possibilité de passer par un filtre qui testera la présence d'un objet en session représentant l'utilisateur authentifié.
S'il n'existe pas -> redirection vers la page de login
Quelque chose comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
package mon.package;
 
public class ServletFilter implements Filter
{
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
            ServletException
    {
        HttpServletRequest httpRequest = (HttpServletRequest)request;
        HttpSession session = null;
        try
        {
            session = httpRequest.getSession(false);
            if (session == null || session.getAttribute("AUTHENTIFICATION") == null)
            {
                throw new ServletException("Aucune session active ou l'utilisateur n'est pas authentifié");
            }
            else chain.doFilter(request, response);                
        }
        catch (Exception e)
        {
            throw new ServletException(e);
        }
    }
}

Ensuite, il faut inscrire le filtre dans web.xml et le tour est joué

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
...
<filter>
    <filter-name>ServletFilter</filter-name>
    <filter-class>mon.package.ServletFilter</filter-class>
</filter>
 
<filter-mapping>
    <filter-name>ServletFilter</filter-name>
    <url-pattern>*</url-pattern>
</filter-mapping>
...

A+

[Viscapon]

Merci pour vos réponses mais j'ai deux petites questions :

D'abord pour David Gimelle :

J'ai déja penser à cette alternative mais je voyais pas comment l'utiliser à ma faveur ,car comment je peux réstreindre des privilèges à des utilisateurs qui sont stockés dans une base de donnnée sql aileurs, et qui peuvent etre nombreux ,comment puis-je les mettre dans un seul groupe ?? C'est la ou j'ai fais ce Post .


Pour OButterlin :

J'ai compris l'idée est c'est peut etre une bonne alternative ,certs j'ai quelques questions consrnat l'implémentation de cette solution .

Est ce que je dois déclarer un attribut dans la session ,cet attribut (AUTHENTIFICATION") est à "true" quand l'utilisateur s'identifie auprès de la page login .

Puis utiliser la valeur de cet attribut dans le filter ?

Je crois ce qui traduit cette ligne de votre code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (session == null || session.getAttribute("AUTHENTIFICATION") == null);

De plus comment puis-je le rediriger vers la page login.jsp ?

[OButterlin]

...
J'ai compris l'idée est c'est peut etre une bonne alternative ,certs j'ai quelques questions consrnat l'implémentation de cette solution .

Est ce que je dois déclarer un attribut dans la session ,cet attribut (AUTHENTIFICATION") est à "true" quand l'utilisateur s'identifie auprès de la page login .

Puis utiliser la valeur de cet attribut dans le filter ?

Je crois ce qui traduit cette ligne de votre code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if (session == null || session.getAttribute("AUTHENTIFICATION") == null);

De plus comment puis-je le rediriger vers la page login.jsp ?

Oui, c'est l'idée.
Dans la servlet de login, si tout est OK, tu positionnes un attribut en session sous le nom "AUTHENTIFICATION" (ici pour l'exemple).
Tu n'as pas besoin de mettre quelque chose de bien précis, ça peut être une simple chaine de caractère ou un objet quelconque, le but est que quelque chose existe en session sous ce nom ou pas.

Pour la redirection vers la page de login, tu peux le faire directement dans le filtre comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,            ServletException
{
   ...
   ((HttpServletResponse)response).sendRedirect(((HttpServletRequest)request).getContextPath() + "/index.jsp");
...
}

[Viscapon]

Dans la servlet de login, si tout est OK, tu positionnes un attribut en session sous le nom "AUTHENTIFICATION"

Excuse moi OButterlin ,mais comment puis-je implementer ceci,càd j'ai une action userLoginAction qui vérifie la validité du compte et qui fait un forword vers la page cible(1,2,3,4) .

Donc comment je dois faire pour positionner un attribut en session dans le cas de la servlet login?