sécuriser une application jsf

**rmougali** · 09/12/2009, 21h00

Bonsoir tout le monde,

Dans le cadre de mon développement je suis arrivé à un stade ou il faudrait sécuriser mon appli, et sincérement je me sens un peu dans l'embarras du choix ....
j'ai vu qu'il y'a plusieurs solutions plus ou moins complètes, comme par exemple JAAS, Acegi , Seam Jboss, EJB, jsf-security ......

En gros ce que je veux c'est une solution me permettant de gerer des permissions d'accès que j'affecterai à des groupes d'user (Roles), pouvoir cacher des parties (boutton, menu.... ) des pages web auquelles accèderont les users en fonction de leurs prévilèges.... voilà

Merci de m'indiquer selon votre expérience laquelle des solutions me permettra d'atteindre mon objectif et la plus simple à mettre en place...

Autre question, est-il nécessaire de maitriser Spring pour utiliser Acegi ???

Merci d'Avance

**Sniper37** · 10/12/2009, 10h27

Envoyé par rmougali

Autre question, est-il nécessaire de maitriser Spring pour utiliser Acegi ???

Merci d'Avance

ouii un peu quand même, mais, Acegi est devenu spring security.

tous ces frameworks s'intègrent avec JSF, pour faire ton choix, tu trouvera des discussions sur le sujet dans le forum J2EE.

Par contre, les EJB et Seam ne sont pas fait pour sécuriser une application web, tu peux ajouter à la liste une méthode plus simple (container security management) la sécurité gérée par le serveur, c'est les security-constraints et la déclaration des realm pour tomcat.

**rmougali** · 10/12/2009, 11h04

Merci pour ta réponse

concernant la sécurité via serveur web "tomcat", c'est une piste que j'ai déja exploré, ça reste limité en terme de possibilité (pas de sécurité au niveau composant) et en plus ça reste spécifique au serveur web choisi...

sinon j'irrai faire un tour sur le forum j2ee pour voir ce qui est dit à propos de ces solutions

**Malone** · 10/12/2009, 11h40

Tiens ce sujet m'intéresse, j'avais les mêmes besoins il y a quelques temps.
Vu que j'ai dans mon appli un nombre restreint de profils, 3, et pas beaucoup de modif d'ihm selons les profils (afficher ou non des liens dans la menu bar pour faire simple), j'étais parti sur une solution "vite fait":

-au niveau de tomcat une règle pour empêcher l'accès direct à mon dossier qui contient les vues.
-un managed bean en scope session qui s'occupe d'authentifier l'user à la connexion, et de récupérer son profil.
-et enfin dans mes vues, des éléments de navigation qui sont rendered ou pas selon la valeur de profil dans le managedBean cité plus haut.

c'est très simple et à première vue ça marche bien, ça vous choque/ça se contourne facilement comme secu?

***alexandre*** · 12/12/2009, 11h32

Envoyé par Malone

Tiens ce sujet m'intéresse, j'avais les mêmes besoins il y a quelques temps.
Vu que j'ai dans mon appli un nombre restreint de profils, 3, et pas beaucoup de modif d'ihm selons les profils (afficher ou non des liens dans la menu bar pour faire simple), j'étais parti sur une solution "vite fait":

-au niveau de tomcat une règle pour empêcher l'accès direct à mon dossier qui contient les vues.
-un managed bean en scope session qui s'occupe d'authentifier l'user à la connexion, et de récupérer son profil.
-et enfin dans mes vues, des éléments de navigation qui sont rendered ou pas selon la valeur de profil dans le managedBean cité plus haut.

c'est très simple et à première vue ça marche bien, ça vous choque/ça se contourne facilement comme secu?

Non c'est pas mal, faudrait juste en plus authentifié les users sur un active directory et récupérer les profils selon leurs OU dans l'AD

Ca prend plus de temps de comprendre Spring Security que de mettre en place une solution fait maison (d'après mon expérience)

**rmougali** · 25/12/2009, 12h11

c'est résolu...

j'ai opté pour un controle de profil remonté par un managed bean avant d'afficher le composant.

Merci.

sécuriser une application jsf

JSF Java

Discussions similaires

Partager

Partager