Discussion :

[raimus88]

Bonjour

Est ce que quelqu'un peut me donner des liens vers des tutos intressant (plutôt clair) pour la gestion des sessions dans une application web.

Je n'en ai jamais encore utilisé et c'est pourtant intournable dans une application web.

J'aurais 3 question svp :
A partir de quel moment doit on ouvrir et fermer une session dans une application web ? J'entends par quel moment, a quelles phases ? Celle de l'inscripition d'un utilisateur, apres sa connexion le temps qu'il navigue dans le site et qu'il se déconnecte du site, à toutes les pages possibles ?

Ma deuxieme question est que le codage d'une session se fait sur les jsp ou les servlets ?

Comment gére t'on les sessions d'une application j2ee avec l'utilisation d'un autre langage (flash) ? Pour l'instant pour l'authentification, je ne fais que les requête avec mes servlets et les vérifications de mes champs se fait côté Flash ?

Merci encore pour votre aide

[raimus88]

J'aurais une autre question, je me suis documenté ce weeek end sur les sytemes d'authentification. Au départ je voulais simplement crypter le mot de passe et utiliser une base de donnée en faisant un equals. Il semblerai que cela fait un peu old school comme utilisation.

Pour le reste, j'ai vu pas mal de choses qui me paraissent assez compliqué. J'ai vu que l'on pouvait utilisé les SECURITY ROLES dans le fichier web.xml

Il y a aussi l'utilisation des JAAS mais ca me parait trop compliqué à mettre en place.

Et enfin j'hésite surtout à utiliser les realm de tomcat.

Pouvez aussi me donner votre avis sur ce qui est bien de faire ?

Mon application est toute simple, c'est un site web avec une gestion d'utilisateurs, groupes etc...

Désolé ca fait peut etre beaucoup de questions donc pour les sessions je chercherai par moi-même. Pas la peine d'y répondre

Merci d'avance

[tchize_]

A partir de quel moment doit on ouvrir et fermer une session dans une application web ?

On l'ouvre quand on en a besoin, on ne la ferme en général pas.

Ma deuxieme question est que le codage d'une session se fait sur les jsp ou les servlets ?

La session est indépendante du fait d'utilise JSP, servlet ou autre tecnique de rendu. C'est juste lié au browser à un moment donné. Dans les jsp il y a un entete "session" pour préciser qu'on a besoin d'un session, dans le servlet c'est l'appel à request.getSession(true) qui crée éventuellement la session.

Pour le reste, j'ai vu pas mal de choses qui me paraissent assez compliqué. J'ai vu que l'on pouvait utilisé les SECURITY ROLES dans le fichier web.xml

Il y a aussi l'utilisation des JAAS mais ca me parait trop compliqué à mettre en place.

Et enfin j'hésite surtout à utiliser les realm de tomcat.

Pouvez aussi me donner votre avis sur ce qui est bien de faire ?

Utilise l'authentification du conteneur, c'est la plus facile à mettre en place. T'as juste à préciser quel role peux accéder à quelle url. Après ce sera la conteneur qui s'assurera que l'authentification est bien faite et que les drois sont respecté. Ca limite fortement le travail à effectuer.

[raimus88]

Bonjour et merci pour votre aide qui est à chaque fois, très précieuse.

Désolé pour mon ignorance mais à quoi correspond l'authentification des conteneurs ?

Merci

[tchize_]

l'authentification du conteneur est celle qui t'es fourni par ton conteneur webapp (tomcat, jboss, glassfish, jonas, ...) et qui se met en place en utilisant les sections "security constraints" de ton web.xml
Exemple dans les docs: http://beuss.developpez.com/tutoriel...rmulaire/#LV.A

[raimus88]

Désolé de revenir vers vous mais je n'arrive pas à mettre en place l'utilisation de realm. Lorsque je lance mon application test, il m'affiche une boite de dialogue pour rentrer des logins mais n'accepte aucun d'eux. Pareil pour le manage de Tomcat. Je suis allé pourtant dans le fichier tomcat-user.xml pour modifier mes logins ou rajouter des rôle (surtout avec manager) mais cela n'a aucun effet. Par contre si je désinstale puis j'essaye de mettre en place des contraintes de sécurité, cela ne marche plus par la suite. C'est à dire qu'il m'envoie une page avec une erreure 404 et je m'aperçois que si je me déconnecte, le login ne marche plus.

J'ai bien essayer de suivre le tutoriel mais il y a quelque chose que je ne fais pas correctement. J'ai suivie celui ci http://www-igm.univ-mlv.fr/~dr/XPOSE...cat.php?rub=19 Je veux utiliser les realm avec jdbc. J'ai crée ma base de donnée correctement:

Pour la table User:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
--
-- Structure de la table `users`
--
 
CREATE TABLE IF NOT EXISTS `users` (
  `user_name` varchar(15) NOT NULL,
  `user_password` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
--
-- Contenu de la table `users`
--
 
INSERT INTO `users` (`user_name`, `user_password`) VALUES
('amaury', 'pass');

Pour la table user_role:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
--
-- Structure de la table `user_roles`
--
 
CREATE TABLE IF NOT EXISTS `user_roles` (
  `user_name` varchar(15) NOT NULL,
  `role_name` varchar(15) NOT NULL,
  PRIMARY KEY (`user_name`,`role_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 
--
-- Contenu de la table `user_roles`
--
 
INSERT INTO `user_roles` (`user_name`, `role_name`) VALUES
('amaury', 'admin');

Si quelqu'un à eu ce genre de soucis. Merci de votre aide

j'ai inséré le pilote jdbc dans la lib de tomcat, j'ai rentré dans mon web.xml:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<security-constraint>
        <display-name>Test d'authentification tomcat</display-name>
        <web-resource-collection>
            <web-resource-name>Page sécurisée</web-resource-name>
            <description/>
            <url-pattern>/ConnexionSecurise/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>ConnexionAuth</realm-name>
        </login-config>
    <security-role>
        <description>administrateur</description>
        <role-name>admin</role-name>
    </security-role>
    <security-role>
        <description>utilisateur</description>
        <role-name>user</role-name>
    </security-role>

Dans server.xml de tomcat, j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
  <Realm className="org.apache.catalina.realm.JDBCRealm" 
	  			driverName="com.mysql.jdbc.Driver" 
				connectionURL="jdbc:mysql://127.0.0.1/baseDonnée"		
				connectionName="root" 
				connectionPassword="mysql" 
				userTable="users" 
				userNameCol="user_name" 
				userCredCol="user_password" 
				userRoleTable="user_roles" 
				roleNameCol="role_name" 
				debug="99"
	/>
    </Engine>
 
  </Service>
</Server>