Discussion :

[malakan]

Bonjour,

Après avoir jeté un œil sur la doc :
http://static.springsource.org/sprin...gsecurity.html

Je n'ai pas réellement trouvé de piste à mon problème que voici :
Je voudrais m'affranchir du formulaire ou du popup d'authentification en passant directement ces infos via l'URL, soyons fou !
Mais au niveau des fichiers de configuration xml de Spring je ne sais pas comment récupérer le login et le mot de passe de l'usager.
Exemple d'URL:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://localhost:8080/monAppliweb/pageSuperSecrete/loginUser/pwUser

Je pense que l'URL doit -peut être- être mieux renseigné ou alors mon Controller (annoté) doit pouvoir récupérer ces infos....

Si quelqu'un a une idée
Merci

[Sniper37]

ce n'est pas de la sécurité via l'url, tu n'a pas besoin de spring security, un simple bean ou servlet fera l'affaire..

[malakan]

Oui c'est vrai un peu un non sens ce que je dis...
Tu as raison la sécurité n'est plus trop en question si on passe ces infos directement dans l'URL.
Sauf peut être ci c'est crypté ...(je ne m'y connait pas )
Édit : Quoi que l'info serait toujours visible dans l'url donc ça ne va pas.

Je vois à peu près comment faire avec un bean ou un servlet, mais dans mon cas je voudrais utiliser spring-security pour apprendre comment ça marche.
Je vais essayer de reformuler ma question alors :
Doit on obligatoirement passer par ces pages de formulaire ou ces Pop-up, automatiquement généré par spring-security, pour s'identifier et accéder au contenu web (via spring-security)?


Je ne suis pas sûr d'être clair mais je ne vois pas comment le dire...

merci

[Sniper37]

tu dispose de deux moyens, la fenêtre pop up du navigateur. ou une page de login que tu peux personnaliser, tu n'est pas obligé d'utiliser celle fournit par défaut.

[malakan]

Ok !

Je pense que je cherche trop compliqué mais je me dis aussi que via un cookie et/ou le 'context session' on est pas obliger de se retaper ces formulaire ou pop-up à chaque fois.
Cela fera l'affaire pour l'instant.

Sniper37, merci pour ton aide

[Sniper37]

oui avec spring security tu as l'option remember me, pour sauvegarder le login/mot de passe, par contre, la première fois il faut bien s'authentifier.

[malakan]

Finalement j'ai trouvé sur la doc un chapitre sur Basic et Digest :
http://static.springsource.org/sprin...nce/basic.html

Cela répond plus ou moins à mes attendes mais il faut que je prenne le temps d'étudier cela, car je ne comprends pas grands chose.

Après avoir testé plusieurs configuration en mode "on verra bien ce que cela donne", je reste bloqué.
En effet dans mon application je souhaite séparer la sécurisation des webservice (basic) et le reste de mes pages (http login).
M'étant inspiré de la documentation voici mon fichier applicationContext-securtiy.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:flex="http://www.springframework.org/schema/flex"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:p="http://www.springframework.org/schema/p"
       xsi:schemaLocation="http://www.springframework.org/schema/beans 
                            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                            http://www.springframework.org/schema/flex
                            http://www.springframework.org/schema/flex/spring-flex-1.0.xsd
			    http://www.springframework.org/schema/security
			    http://www.springframework.org/schema/security/spring-security-3.0.xsd">
 
 
       <!-- Definition de la source de donnees sous MySQL -->
	   <bean id="dataSourceUsers" class="org.springframework.jdbc.datasource.DriverManagerDataSource" >
              <property name="driverClassName">
                    <value>com.mysql.jdbc.Driver</value>
              </property>
              <property name="url">
                    <value>jdbc:mysql://${jdbc.url}/Users</value>
              </property>
               <property name="username">
                    <value>${jdbc.user}</value>
               </property>
               <property name="password">
                     <value>${jdbc.pass}</value>
               </property>
            </bean>
 
 
 
  	<!-- authencation provider -->
  	<security:authentication-manager alias="authenticationManager">
	  	<security:authentication-provider>
	       <security:jdbc-user-service data-source-ref="dataSourceUsers" 
	                              users-by-username-query="SELECT userlogin as username, userpassword as password, userenable as enable FROM users WHERE userlogin =?"
	                              authorities-by-username-query=" 
	                              select  u.userlogin as username ,d.droitsnom as role FROM users u,roles r, droits d,matchUsersRoles mt
				                  WHERE u.iduser = mt.iduser
				                  and u.userlogin =?
				                  and mt.idrole = r.idrole
	                              and d.iddroit = r.iddroit"/>           	
	       </security:authentication-provider>
	</security:authentication-manager>
 
 
	<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
	  <security:filter-chain-map path-type="ant">
	     <security:filter-chain pattern="/webServices/**" filters="
	           securityContextPersistenceFilterWithASCFalse,
	           basicAuthenticationFilter,
	           basicExceptionTranslationFilter,
	           filterSecurityInterceptor" />
 		<security:filter-chain pattern="/**" filters="
	           securityContextPersistenceFilterWithASCTrue,
	           formLoginFilter,
	           filterSecurityInterceptor" />  
	  </security:filter-chain-map>
	</bean>
 
	<!-- web simple -->
	<bean id="securityContextPersistenceFilterWithASCTrue" class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
		<property name='securityContextRepository'>
			<bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'>
			  <property name='allowSessionCreation' value='true' />
			</bean>
		</property>
	</bean>
 
	<bean id="formLoginFilter"
	  class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	   	  <property name="authenticationManager" ref="authenticationManager"/>
	   	  <property name="authenticationSuccessHandler" ref="authenticationSuccessHandler"/>
	   	  <property name="authenticationFailureHandler" ref="authenticationFailureHandler"/>
	   	  <property name="filterProcessesUrl" value="/j_spring_security_check"/>  	
	</bean>
 
	<bean id="authenticationSuccessHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler">
		<property name="defaultTargetUrl" value="/main_app.html"/>
	</bean>
 
	<bean id="authenticationFailureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
		<property name="defaultFailureUrl" value="/login.jsp?failure=true"/>
	</bean>
 
 
	<!-- webservice -->
 
		<bean id="securityContextPersistenceFilterWithASCFalse" class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
		<property name='securityContextRepository'>
			<bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'>
			  <property name='allowSessionCreation' value='false' />
			</bean>
		</property>
	</bean>
 
	<bean id="basicAuthenticationFilter"
	  class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter">
	  <property name="authenticationManager" ref="authenticationManager"/>
	  <property name="authenticationEntryPoint" ref="basicAuthenticationEntryPoint"/>
	</bean>
 
	<bean id="basicExceptionTranslationFilter"
	     class="org.springframework.security.web.access.ExceptionTranslationFilter">
	  <property name="authenticationEntryPoint" ref="basicAuthenticationEntryPoint"/>
	  <property name="accessDeniedHandler" ref="accessDeniedHandler"/>
	</bean>
 
	<bean id="basicAuthenticationEntryPoint"
	  class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint">
	  <property name="realmName" value="Name Of Your Realm"/>
	</bean>
 
	<bean id="accessDeniedHandler"
	     class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
	  <property name="errorPage" value="/accessDenied.htm"/>
	</bean>
 
 
	<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
	  <property name="authenticationManager" ref="authenticationManager"/>
	  <property name="accessDecisionManager" ref="accessDecisionManager"/>
	  <property name="securityMetadataSource">
	    <security:filter-security-metadata-source>
	      <security:intercept-url pattern="/webServices/**" access="ROLE_ADMIN"/>
		  <security:intercept-url pattern="/**" access="ROLE_USER"/>
	    </security:filter-security-metadata-source>
	  </property>
	</bean>
 
	<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
	  <property name="allowIfAllAbstainDecisions" value="false"/>
	  <property name="decisionVoters">
	    <list> 
	    	<bean id="roleVoter" class= "org.springframework.security.access.vote.RoleVoter"/> 
	    </list>
	  </property>
	</bean>

Lorsque je lance mon application via glassfish j'obtient :

org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext

Je ne comprend pas d'où cela peut venir ...
Si quelqu'un à une idée ou même un tuto super bien fait (faut pas rêver ) je suis preneur.
Merci d'avance !