Discussion :

[greatmaster1971]

Bonjour,

j'ai une appli sous TOMCAT avec quelques servlets pour la consultation de données confidentielles de mon entreprise.

Ces servlets sont accessibles via des liens situés sur un site PHP.
Ces liens sont évidemment accessibles uniquement si l'utilisateur s'est authentifié via une vérification dans une base de données de mots de passe. Les infos de l'utilisateur sont alors stockées dans la session PHP.

Les servlets doivent être consultables uniquement si l'utilisateur s'est authentifié sur le site PHP.

Est il possible de récupérer la session PHP à partir de TOMCAT ?
Si oui comment ?

Je précise, que mon entreprise n'a pas de référentiel d'utilisateurs LDAP centralisé qui pourrait aider à l'authentifiaction simultanée dans TOMCAT et Apache.

Eric

[zekey]

En fait comment est structuré ton appli.
Cela serait possible avec apache comme frontend au 2 service PHP et tomcat

Apache
PHP JK
Tomcat

Dans ce cas tu définira simplement avec le mecanisme de securité d'Apache que les servlets sont protégés et qu'il faut s'identifié par le form PHP.

[greatmaster1971]

Cela serait possible avec apache comme frontend au 2 service PHP et tomcat

Je comprends pas trop !?
Peux tu préciser STP !?

Pour le moment je suis dans la configuration suivante :
- un serveur Apache avec PHP, en production
- un serveur Tomcat 5.5 pour le test sur lequel l'appli est installée. Le serveur de prod correspondant va être soit un serveur Tomcat soit WEBLOGIC (c'est pas moi qui choisis)

Dans ce cas tu définira simplement avec le mecanisme de securité d'Apache que les servlets sont protégés et qu'il faut s'identifié par le form PHP.

Désolé, là aussi j'ai besoin que tu précises un peu !?

Suggère tu d'appeler les servlets via un module php java d'apache ?
Mon idée est plutot d'appeller les servlets via une URL pointant vers le serveur TOMCAT.

Eric

[greatmaster1971]

Je précise que la config serveur Apache couplé à PHP n'est pas censé bouger.

Il est situé sur une machine différente du moteur de servlet sur lequel sera installé l'appli J2EE.

A priori, pour le moment je vois pas d'autre moyen sécurisé que de gérer l'authentification une deuxième fois dans l'appli J2EE en lui envoyant le login et le mdp afin qu'il vérifie dans la table des mots de passe.

Dommage, ça me semble lourd !?

Une autre solution a été suggérée dans un post :

Il me semble qu'il existe un framework qui permet l'échange de session entre serveurs d'une manière fiable et sûre. Un utilisateur s'identifie sur un serveur. Il peut ensuite naviguer entre plusieurs serveurs (ou WEB-application) en étant toujours identifié.

Aucune référence exacte à ce fameux framework ?
Quelqu'un en sait il plus ?

Merci

Eric

[zekey]

En fait la solution à la quelle je pensais, était de gérer la securité par apache.
Dans apache tu peux définir des zones privées et demander un mot de passe pour celles ci. Je ne sais pas comment du gère la sécurité dans ton appli PHP mais si tu passes par le mécanisme de sécurité d'Apache. Rien ne t'empeche de protégé le chemin vers le tomcat de la même facon:

ex

http://server.com/php <-- zone protégé
http://server.com/php/monAppliTomcat <-- comme le repertoire se trouve en dessous il est protégé apres il ne reste plus qu'a le lier ver le tomcat.

[greatmaster1971]

Sur le site PHP la sécurité des ressources est gérée par une table de login/mdp et quelques autres tables pour les URL.

En d'autres termes la sécurité des ressources n'est pas gérée par Apache mais par une page PHP. Pour sécuriser une page il suffit juste de rajouter un include de la page de sécurité au début (c'est peut etre pas le top mais c'est comme ça que c'est fait !!).

Si je ne me trompe pas, Apache gère la sécurité à partir d'un fichier d'utilisateurs en dur. Or on a besoin de pouvoir modifier les utilisateurs à partir du site. Donc le fichier en dur n'est pas possible.

http://server.com/php <-- zone protégé
http://server.com/php/monAppliTomcat <-- comme le repertoire se trouve en dessous il est protégé apres il ne reste plus qu'a le lier ver le tomcat.

Je vois mais je pense qu'on s'est mal comrpis.
Sur le site PHP la page qui donne accès aux liens en accès restreint vers les servlets sur une autre machine est sécurisée (seulement accessible des utilisateurs identifiés).
Par contre un utilisateurs averti peut copier coller le lien vers les servlets et les donner à d'autres non identifiés. En y allant directement.
Comme les servlets ne savent pas si l'utilisateur s'est au préalable idenifié sur le site PHP, elles sont accessibles de n'importe qui !??

Pour le moment l'accès doit se faire du site PHP, mais je commence à me rendre compte qu'il va falloir que tout soit du coté servlet pour gérer correctement la sécurité.

Eric