[Struts]Struts et Sécurité

**tibouchou** · 08/01/2006, 10h53

Bonjour à tous,

Je développe une application Struts où il faut avant tout s'identifier. Je voulais savoir comment je peux empecher quelqu'un de taper l'URL (le chemin) d'une action dans la barre d'adresse dans le but de pouvoir accéder à une page sans être passé par la page de login ?
Et cela sur TOUTE l'application.

S'agit-il du design pattern Intercepting Filter à appliquer sur toutes les pages ? N'y a t-il pas un moyen plus simple ?

Merci

[Modéré par Didier] : ajout de tag dans le titre - Les règles du forum Java

**agougeon** · 08/01/2006, 11h18

Bonjour, j'ai deja eu se probleme et je j'ai trouvé un truc qui peu convenir... Je passe lors de l'identification un attribut de session que je test au debut de chaque page.... session.getAttribute("MEMBRE");
Sinon peut etre avec un tag struts... mais je n'en connai pas.

**SEMPERE Benjamin** · 08/01/2006, 12h16

Ben la reponse est simple, tu dois sécuriser ton application web en ajoutant des tags <security-constraint> dans ton fichier web.xml

**SEMPERE Benjamin** · 08/01/2006, 12h20

En utilisant le fonction rechercher avec comme mot clé "j_security_check" , tu peux trouver plusieurs posts à ce sujet:

En voici un:
http://www.developpez.net/forums/vie...jsecuritycheck
++

**tibouchou** · 08/01/2006, 12h43

Ok, merci beaucoup

**tibouchou** · 08/01/2006, 13h31

hmm, bon pour l'instant, j'ai rajouté ceci dans le web.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
	<security-constraint>
      <display-name>Example Security Constraint</display-name>
      <web-resource-collection>
         <web-resource-name>Protected Area</web-resource-name>
    <!-- Define the context-relative URL(s) to be protected -->
         <url-pattern>/html/*</url-pattern>
    <!-- If you list http methods, only those methods are protected -->
         <http-method>GET</http-method>
         <http-method>POST</http-method>
    	  <http-method>PUT</http-method>
      </web-resource-collection>
      <auth-constraint>
         <!-- Anyone with one of the listed roles may access this area -->
         <role-name>tomcat</role-name>
      </auth-constraint>
    </security-constraint> 
    
    
    <security-role>
      <role-name>tomcat</role-name>
    </security-role>

Mais hmm, je ne trouve pas sur le forum, dans la FAQ, ni sur Google, l'explication de A à Z du processus.
Apres, comment je donne à quelqu'un qui se connecte, le rôle "tomcat" (rôle de test pour l'instant), et il faut que sur chacun des JSP, je mette une ligne de restriction à ce rôle ? Et comme je redirige vers l'écran de login ? Bref j'ai vu de petits morceaux un peu partout, mais je ne sais pas où les mettre et je ne sais pas si j'ai tout les éléments

Merci

**c_nvy** · 08/01/2006, 14h21

Pour permettre la redirection automatique vers la page de login, il faut définir cette page dans le web.xml ainsi que la page d'erreur comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<login-config>
   <auth-method>FORM</auth-method>
   <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/loginErreur.jsp</form-error-page>
   </form-login-config>
</login-config>

à insérer entre les sections security-constraint et security-role.

Pour que cela fonctionne, dans la jsp, il faut invoquer l'action j_security_check et les attributs doivent obligatoirement s'appeler j_username et j_password comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<form method="POST" name="loginForm" action="<%=response.encodeURL("j_security_check")%>">
  <input type="text" name="j_username"/></div>
  <input type="password" name="j_password"/>
  <input type="submit" value='VALIDER'/>
  <input type="reset" value='RAFRAICHIR'/>
</form>

**tibouchou** · 08/01/2006, 16h17

Oki merci, j'ai rajouté les infos dans le web.xml

Mais où intervient le rôle ?

Et puis surtout, je veux faire une action après le bouton valider qui vérifie les infos rentrer par l'utilisateur et qui le redirige vers une autre action. Comment faire ?

**SEMPERE Benjamin** · 08/01/2006, 17h30

Les roles et les users peuvent être, par exemple, définis dans une base de données (cas d'un datasource realm)??
Si tu travailles avec Tomcat donne un coup d'oeil ici

**tibouchou** · 08/01/2006, 17h58

Le hic, c'est que moi à la limite je ne veux pas de rôle, je veux juste que les utilisateurs passent par la page d'identification avant de surfer dans l'application. Je veux que quelqu'un qui n'a pas de login / pass ne puisse pas accéder à l'appli via l'URL d'une action.

**tibouchou** · 08/01/2006, 18h36

Bon, cela a l'air de marcher, j'ai juste mis dans le fichier web.xml les lignes que j'ai cité au dessus plus celles ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<login-config>
   <auth-method>FORM</auth-method>
   <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/loginErreur.jsp</form-error-page>
   </form-login-config>
</login-config>

bien que je comprenne pas encore bien le fonctionnement, cela marche

Je vais plus me pencher sur la question.

Merci à tous ceux qui m'ont aidé

**SEMPERE Benjamin** · 09/01/2006, 11h18

mais de rien

**diabolo512** · 09/01/2006, 14h07

Bonjour,
à noter que cette solution est statique au niveau de la définition des rôles, et que la gestion des utilisateurs n'est pas portable entre différents serveurs d'applications.

Une autre solution est l'utilisation du projet open source jGuard(www.jguard.net), qui permet une sécurisation des webapps, et une intégration de JAAS dans j2ee sans difficultés.
cela apporte aussi une gestion dynamique des rôles, une portabilité entre les serveurs d'applications, et fournit entre autres une librairie de tags permettant d'afficher tout ou partie d'une page en fonction du profil et des rôles de l'utilisateur.

Charles(jGuard team).

**tibouchou** · 15/01/2006, 12h52

Hmm oki,

Et une fois l'utilisateur connecté, que faut-il faire de spécial dans l'action déconnecter ? Car un httpSession.invalidate() après l'avoir récupérée ne suffit pas

Merci

**SEMPERE Benjamin** · 15/01/2006, 13h49

Envoyé par tibouchou

Hmm oki,

Et une fois l'utilisateur connecté, que faut-il faire de spécial dans l'action déconnecter ? Car un httpSession.invalidate() après l'avoir récupérée ne suffit pas

Merci

Je confirme que ton session invalidate() detruit la session user et de ce fait les infos de connection de ton user

**jraselin** · 17/01/2006, 00h47

Pour éviter à l'utilisateur d'accéder à une page jsp, il faut le mettre dans
WEB-INF (Il ne peut pas accéder à ce repertoire via l'URL).

ca oblige l'utilistateur à passer par les Action avant d'atteindre la JSP.

**SEMPERE Benjamin** · 17/01/2006, 10h35

Envoyé par jraselin

Pour éviter à l'utilisateur d'accéder à une page jsp, il faut le mettre dans
WEB-INF (Il ne peut pas accéder à ce repertoire via l'URL).

ca oblige l'utilistateur à passer par les Action avant d'atteindre la JSP.

+1 Tout à fait

[Struts]Struts et Sécurité

Struts 1 Java

Vue hybride

Discussions similaires

Partager

Partager