Discussion :

[seb_fou]

Bonjour,

Je travaille actuellement sur plusieurs applications JSF/MyFaces dont
beaucoup des managed beans sont en session.
Firefox et IE partageant les sessions entre ces onglets, si
l'utilisateur copie-colle l'URL de l'application dans un autre onglet,
Il peut ouvrir deux écrans différents et ainsi faire des manipulations
sur l'un et valider sur l'autre écran.
Ce qui entraine des incohérences voire même des failles de sécurité.

J'ai lu que MyFaces Orchestra permettait de gérer le multi-window,
mais il s'appuie sur pas mal de configuration Spring et JPA. or mon projet utilise OJB.
Je ne souhaite pas non plus remodifier toute l'application pour utiliser JBoss Seam ou Spring WebFlow.

Sinon j'étais parti sur une solution plus simple en enregistrant l'id
de la session en cours en base mais ceci ne résoud pas le problème
finalement. Et il n'y a pas moyen de récupérer l'identifiant de la
fenêtre utilisée coté client.

Je suis à l'écoute de la moindre idée.

Merci d'avance.

[Arthuris]

il y a une idée plus simple est d'utiliser le <security-constraint> du web.xml pour bloqué l'accée direct vers toutes les pages jsf, et tu laisse l'acces juste pour la page d'accueille pour s'identifier avec un utilisateur et un mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<security-constraint>
 
		<web-resource-collection>
			<web-resource-name>Restrict access to JSP pages</web-resource-name>
 
			<url-pattern>/faces/html/jsp/admin/administration.jsp</url-pattern>
			<url-pattern>/faces/html/jsp/admin/abbreviation.jsp</url-pattern>
			<url-pattern>/faces/html/jsp/admin/history.jsp</url-pattern>
 
			<http-method>GET</http-method>
 
		</web-resource-collection>
 
		<auth-constraint>
			<description>With no roles defined, no access granted</description>
		</auth-constraint>
	</security-constraint>