Discussion :

[mamelouk]

Bonjour,

Imaginons que vous ayez un formulaire login/password dans votre appli GWT. Vous appelez la méthode de login() sur le serveur, que faites vous une fois que vous avez recu la réponse? :

1) vous redirigez vers la page qui contient l'application, et l'application redirige vers la page de login si l'authenfication n'est plus valide
2) l'application était déjà chargée, vous cachez le formulaire et l'affichez
3) autre

[Torg666]

moi j'ai choisi au lancement de l'appli d'afficher un fenetre de log, donc l'appli est déjà chargé.
Tant que pas de log/mdp valider la fenetre de log reste modale et donc le reste n'est pas accessible.
A voir si c'est une solution viable...

[pedouille]

C'est également ce que je fais ; pour sécuriser un minimum l'ensemble, je créé un sid lorsque l'utilisateur s'authentifie (et je le stocke côté serveur), et à chaque appel au serveur, je renvoi ce sid pour assurer que la personne s'est bien authentifié.

Une solution plus fiable peut être d'utilisé l'authentification HTTP d'Apache, mais cela déporte la gestion des utilisateurs hors de l'application, donc à voir...

[mamelouk]

cette solution me conviendrait aussi, sauf pour les pages d'administration, où je n'ai pas envie que ce soit possible, pour quelqu'un qui sait modifier le javascript en cours d'execution (via firebug par ex), de simuler un login réussi et de voir quels fonctions d'administration sont disponibles.

du coup, je vais voir comment se fait la gestion utilisateur coté apache... disons plus tard, car comme tout le monde j'ai des priorités ^^

merci

[Torg666]

Alors, dans mon cas, après le log je stock dans un objet, l'ID utilisateur et les ID droit lui correspondant.
Je ne crée rien sur le serveur, je ne crée pas de cookies et je vérifie jamais lorsque l'utilisateur accede à la base de donnée si il existe vraiment...
Par contre en fonction des droits de l'utilisateur je compte vérouiller les acces au differentes "fenetre" en me basant sur mon objet.
Alors de toute evidence, c'est pas suffisant... et je suis actuellement en train de me pencher sur la securité de mon appli... en fait je cherche a identifier les faille sans trop savoir comment m'y prendre et surtout savoir ce qui crains vraiment.
La seul chose que j'ai fais pour l'instant, c'est d'interdire l'usage de carateres speciaux sur le logging/mdp... ca devrai devrai limiter un peu les failles sur le log... mais après je dois avoue je sais pas trop quoi faire d'autre... si quelqu'un à des conseils je suis preneur

[pedouille]

Bonjour,

Mon premier conseil est de ne surtout pas stocké les informations sur les droits en clair côté client : il n'y a plus qu'a lire ces droits, et éventuellement les modifier (se fait très bien avec firebug, comme expliqué précédemment) pour s'attribuer n'importe quel droit.
De plus, la vérification des droits doit se faire côté serveur, car côté client, n'importe qui peut faire n'importe quoi. Toutes les actions côté serveur doivent donner lieu, au préalable à une vérification de la session : j'ai pour habitude de ne stocker qu'un numéro de session (hash MD5 quelconque) que je stocke côté client et serveur. Lors de tout appel au serveur, le client ajoute cet id de session dans les paramètres de la requête ; le serveur, avant de répondre, commence par regarder si il connait cet id de session, et récupère les infos nécessaire (Identifiant, droits sur l'applications,... tout ce dont on peut avoir besoin). A ce moment là, il vérifie si l'action demandée est possible pour l'utilisateur, et répond en conséquence.

Ce mode de fonctionnement des sessions est très classique, et assez solide, puisque pour s'attribuer des droits sans identification, il faut parvenir à capturer un identifiant de session valide et non périmé.

Voila, en espérant que ça puisse t'aider...

[kamel_leon]

Salut, je voulais savoir comment faire svp, si on peut naviguer sur une application web et quand on veut effectuer une action qui nécessite authentification, d'y revenir une fois l'authentification réussie
Merci d'avance