Discussion :

[Zogzog4]

(pardon pour les accents => clavier qwerty)

Bonjour,

Je developpe une application J2EE en utilisant le framework STRUTS.
Je voulais utiliser le systeme d'authentification REALM, inclut dans Tomcat.

Quand je tente d'accéder directement (via l'URL) a un répertoire protégé par Realm, le systeme d'authentification me demande bien mon Login et mon mot de passe.

Mais si j'utilise Struts, le mapping me permet d';atteindre directement le repertoire protegé, sans demander le login et le mot de passe.

Struts et Realm sont ils incompatibles? Existe il une solution pour les faire cohabiter?

Merci pour vos idées et réponses

[c_nvy]

Tu as protégé ton répertoire de cette façon-là ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<security-constraint>
  <web-resource-collection>
    <url-pattern>/tonRepertoireSecurise/*</url-pattern>
...

[SEMPERE Benjamin]

(pardon pour les accents => clavier qwerty)

Bonjour,

Je developpe une application J2EE en utilisant le framework STRUTS.
Je voulais utiliser le systeme d'authentification REALM, inclut dans Tomcat.

Quand je tente d'accéder directement (via l'URL) a un répertoire protégé par Realm, le systeme d'authentification me demande bien mon Login et mon mot de passe.

Mais si j'utilise Struts, le mapping me permet d';atteindre directement le repertoire protegé, sans demander le login et le mot de passe.

Struts et Realm sont ils incompatibles? Existe il une solution pour les faire cohabiter?

Merci pour vos idées et réponses

Comment veux tu que Struts possède un tel bug??
Navy a raison, donnes un coup d'oeil à ton web.xml...

[Zogzog4]

J'espere qu'effectivement il s'agit d'une erreur de ma part

Ma configuration Realm:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
	<security-constraint>
	    <web-resource-collection>
	        <web-resource-name>User section</web-resource-name>
	        <url-pattern>/pages/user/*</url-pattern>
	    </web-resource-collection>
	    <auth-constraint>
	        <role-name>user</role-name>
	    </auth-constraint>
	</security-constraint>
 
	<security-constraint>
	    <web-resource-collection>
	        <web-resource-name>Company section</web-resource-name>
	        <url-pattern>/pages/company/*</url-pattern>
	    </web-resource-collection>
	    <auth-constraint>
	        <role-name>company</role-name>
	    </auth-constraint>
	</security-constraint>
 
	<security-constraint>
	    <web-resource-collection>
	        <web-resource-name>Admin section</web-resource-name>
	        <url-pattern>/pages/admin/*</url-pattern>
	    </web-resource-collection>
	    <auth-constraint>
	        <role-name>administrator</role-name>
	    </auth-constraint>
	</security-constraint>
 
 
 
	<login-config> 
		<auth-method>FORM</auth-method> 
		<form-login-config> 
			<form-login-page>/pages/logon/login.jsp</form-login-page> 
			<form-error-page>/pages/logon/error.jsp</form-error-page> 
		</form-login-config> 
	</login-config>

Mes mappings struts (struts-config.xml):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
      <!-- Process a user logon -->
       <action    
       		path="/Logon"
            type="itd.action.LogonAction"
            name="LogonForm"
            scope="session"
            input="logon">
         	<forward name="logonAdmin" path="/pages/admin/index.jsp"/>
         	<forward name="logonCompany" path="/pages/company/index.jsp"/>
         	<forward name="logonUser" path="/pages/user/index.jsp"/>
        </action>

Si je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost:8080/itd/Logon.do?typeUser=company

... alors j'arrive directement sur la page protegée (j'ai redémaré le serveur juste avant)

Mais si je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost:8080/itd/pages/user/index.jsp

... alors il me demande bien mon login/password.

Beuh!

[Zogzog4]

Je suis allé voir ici:

http://java.developpez.com/faq/struts/?page=security

... et ca ressemble à ce que j'ai fait

[Zogzog4]

Ok, c'est résolu: il fallait protéger l'Action, et non pas l'URL.
Merci pour vos réponses 8)