Discussion :

[Bassas]

Bonjour, je ne comprends pas cette méthode. A quel moment l'objet (ou quoique ce soit) retourné par cette méthode a-t-il prit sa valeur? Par qui et comment?

Si c'est moi qui suis sensé y affecter une valeur dans disons la servlet d'authentification, à quoi bon cette méthode?

[OButterlin]

Cette méthode renvoie l'utilisateur (Windows, Linux, ...) en cours sur la machine "client".

[Bassas]

ah donc pas l'utilisateur du site?? fallait le dire... lol

Dans ce cas, pourquoi lorsque je teste chez moi ca me renvoie null? Je suis bien authentifié sur mon windows non?

Et par dessus tout, dans quel cas ca nous intéresserait la session ouverte sur l'OS du client?

[OButterlin]

Pourquoi faire ? Et bien, on peut imaginer pas mal de cas où ça pourrait être utile...

On peut imaginer une application web (intra-net ou extra-net) qui utilisera un utilisateur référencé pour établir une connexion à une base de données afin de "tracer" les opérations ou d'utiliser les notions de droits du SGBDR.

[Bassas]

Poruqoi l'authentification sur le site lui meme ne suffit pas?

[OButterlin]

C'est totalement différent...
Tu peux utiliser un utilisateur "TOTO" sur ton poste Windows (ou autre) et avoir besoin d'un login "admin" pour une application web en particulier...
Un exemple type serait l'accès à Tomcat Manager... rien à voir avec l'utilisateur du PC...

[Bassas]

C'est totalement différent...
Tu peux utiliser un utilisateur "TOTO" sur ton poste Windows (ou autre) et avoir besoin d'un login "admin" pour une application web en particulier...
Un exemple type serait l'accès à Tomcat Manager... rien à voir avec l'utilisateur du PC...

Du site tu voulais dire? Si c'est cela je comprends un peu mieux.. Si c'est pas le cas alors je ne comprends rien mais ce n'est pas grave parce que de toute façon il s'avère que cette méthode n'est pas ce dont j'ai besoin.

Moi ce que je veux apprendre c'est comment gérer les sessions utlisateur sur un site. Est ce que après s'etre assuré que les données saisies via un formulaire coincident avec une entrée dans la BDD (table users) j'affecte le login et le pass en tant qu'attributs à l'objet HttpSession ou comment ca se passe ou juste?

PS: on en discute ici ou j'ouvre un sujet avec un titre plus approprié?

[OButterlin]

Comment ça se passe... on peut imaginer tant de chose...

Je te suggère d'utiliser l'authentification au niveau du serveur, il faut regarder le paramétrage du web.xml (en particulier la section security-constraint)
Il faudra également créer un "Realm" sur le serveur mais là, ça peut dépendre du serveur. Tu utilises lequel ?

Sinon, il y a la solution basique "hand-made", tu gères ça par ton propre formulaire d'authentification, dans la servlet associée tu fais tes contrôles et tu stockes une information dans la session.
Ensuite, il faut qu'à chaque accès tu vérifies que l'information est en session, dans le cas contraire, tu rediriges vers le loggin.
Une solution consiste à paramétrer un filtre (javax.servlet.Filter) pour faire le contrôle, ça évite d'avoir à l'implémenter partout...

La solution 1 est bien plus puissante...

[Bassas]

J'utilise Tomcat. En réalité je ne suis pas familier avec aucune de ses approches, est ce que tu peux me renvoyer vers un lein qui détaille tout cela?

[tchize_]

http://beuss.developpez.com/tutoriel...on/formulaire/

[Bassas]

Merci bien.

[Bassas]

Je viens de finir de lire le document et je crois qu'il s'agit d'un mal-entendu. D'abord est ce que ce qui est décrit dans l'article est bien ce qu'on appelle 'container-managed authenitification'? Ensuite, si on veut simplement gérer les comptes utilisateurs sur un site, est ce comme cela qu'on procède?

[tchize_]

est bien ce qu'on appelle 'container-managed authenitification'?

oui

Ensuite, si on veut simplement gérer les comptes utilisateurs sur un site, est ce comme cela qu'on procède?

tout dépend du besoin et du fonctionnement. Tu peux très bien utiliser ça, et faire une interface, dans ton site, qui va se connecter à la même DB pour ajouter / supprimer des users depuis des pages admin. Si tes role peuvent varient souvent suivant ce que veux l'admin (exemple, pouvoir dire /truc doit maintenant etre accessible au rôle "rédacteurs" puis demain rajouter le role "relecteur", puis après-demain retirer relecteur et mettre un role "relecteur-niveau2", etc, bref des droits très dynamique suivant la page, comme on en voit sur des outils comme wordpress) alors non ce n'est pas nécessairement le plus approprié.

[OButterlin]

Une petite précision sur ce que vient de dire tchize_, tu peux très bien rendre variable les rôles d'un utilisateur avec l'authentification serveur, ce qui ne peut pas être fait dynamiquement, c'est l'ajout d'un rôle.
Bref, si la liste des rôles est connue d'avance et fixe et qu'il s'agit juste d'attribuer de manière dynamique ces rôles à des utilisateurs, ça fonctionnera très bien, si par contre, tu veux rajouter des rôles, ça n'ira pas...

[tchize_]

exactement. Et ne pas oublier qu'on peux aussi jouer avec des système hybride. Gérer l'authentification et le gros des droits sur le serveur et rajouter des checks dynamiques dans ton code pour certaines choses