Discussion :

[greatmaster1971]

Bonjour,

j'ai une appli J2EE (pour le moment sur un serveur de test TOMCAT) avec quelques servlets pour la consultation de données confidentielles de mon entreprise.

Ces servlets sont accessibles via des liens situés sur un site PHP de production.
Ces liens sont évidemment accessibles uniquement si l'utilisateur s'est authentifié via une vérification dans une base de données de mots de passe. Les infos de l'utilisateur sont alors stockées dans la session PHP.

Les servlets doivent être consultables uniquement si l'utilisateur s'est authentifié sur le site PHP.

Est il possible de récupérer la session PHP à partir de TOMCAT ?
Si oui comment ?
Est il possible de dire à TOMCAT que l'utilisateur s'est bien authentifié sur APACHE ?

Je précise, que mon entreprise n'a pas de référentiel d'utilisateurs LDAP centralisé qui pourrait aider à l'authentifiaction simultanée dans TOMCAT et Apache.

Eric

[toflofr]

je pense que pour résoudre ton problème faudrai mettre un flag dans la base de données si le user est bien logger, et ta servlet verifira se flag, et lorsque l'utilisateur ce deconnecte tu fais sauter le flag.

Voila moi proposition, mais il existe surement mieux.

[siddh]

si tes sessions sont enregistrées sur fichier (ce qui est en général le cas), tu peux aller lire ses fichiers en java.

Regardes ton session_save_path pour obtenir le chemin

[greatmaster1971]

Tout d'abord merci pour les réponses.

si tes sessions sont enregistrées sur fichier (ce qui est en général le cas), tu peux aller lire ses fichiers en java.

Lire dans le répertoire dans lequel apache stocke les fichiers de session est ce que c'est une méthode sécurisée ?

Dans mon cas les servlets sont situées sur un host différent de celui sur lequel il y a APACHE. A priori j'ai regardé sur notre site PHP, il écrit dans /var/lib/php/session qui a les droits suivants

drwxrwx--- 2 root apache 4096 jan 19 14:04 session

seuls les utilisateurs du groupe apache pourraient lire dedans si on exclue root. Ca peut se changer mais faut voir que c'est un site en prod !

En fait si je résume ta solution :

- je passe le phpsessid à la servlet par exemple phpsessid=sg55g56ff56gfd65gfdfgfd87
- ensuite la servlet vérifie que le fichier sess_sg55g56ff56gfd65gfdfgfd87 existe sur le host d'apache
- s'il existe c'est que l'utilisateur s'est connecté
sinon il ne s'est pas connecté

Me vient la question suivante :

si le fichier sess_sg55g56ff56gfd65gfdfgfd87 existe cela signifie t il dans tous les cas que l'utilisateur est connecté. En d'autre terme si le fihier existe est on sur que la session n'a pas expiré ?

je pense que pour résoudre ton problème faudrai mettre un flag dans la base de données si le user est bien logger, et ta servlet verifira se flag, et lorsque l'utilisateur ce deconnecte tu fais sauter le flag.

Cette solution consistant à mettre un flag dans la BD disant si l'utilisateur est connecté me semble inadéquate. En effet il est possible que deux personnes soient connectées avec le meme utilisateur. Si un des deux personnes se déconnecte il fera sauter le flag et donc l'autre personne sera flaguée non connectée alors qu'en réalité elle devrait etre flagueé connectée !!!???

Eric

[siddh]

je suis bien d'accord que ça va impliquer des contraintes mais bon vu ce que tu veux faire ....

le fichier de session peut tres bien etre encore là alors que la session à expirée, il faudrais regarder la date de dernière modification du fichier pour etre sur et bien entendu tester en fonction de la durée d'une session ....

autre solution peut être, se pencher sur les cookies car coté client c est stocké la dedans

[greatmaster1971]

1ere solution

Regarder dans le fichier de session sur le host d'apache. La servlet vérifie si l'utilisateur est toujours connecté en recherchant le login dans le fichier (son login est enregistré dans la session dès qu'il s'est connecté)
Cela implique d'avoir des droits en lecture pour l'utilisateur qui va lire le fichier à partir de la servlet.

2eme solution

Regarder dans le cookie du client. La on peut trouver le phpsessid. Une fois récupéré dans la servlet qu'est ce que j'en fais ? A priori je ne peux pas lire le contenu !?
Cette solution a le mérite d'éviter de lire sur le host d'Apache.

La 2eme solution me coviendrait mieux mais techniquement je ne sais pas si une servlet pour lire le contenu d'un cookie créé par php.

Qu'en penses tu ?

Eric

[siddh]

si le cookie est dans le meme domaine ca doit etre faisable

sinon tu peux toujours voir si javascript te le retourne avec document.cookie

[greatmaster1971]

Là où ca se complique c'est que sur le site PHP lorsque l'utilisateur n'est pas identifié une variable session existe quand meme. Elle sert à la navigation dans le site.

Du coup meme si la session existe du côté PHP ça veut pas forcément dire que l'utilisateur est identifié.

Par contre quand l'utilisateur est identifié le site créé une variable de connexion dans la session avec son login. Il faudrait que du côté servlet je vérifie que ce login existe bien dans la session PHP.

Eric

[siddh]

le plus simple serais peut etre effectivement de passer par la base de données ou par un fichier dans lequel tu stockerais le login,l'ip et la date/heure d'authentification.

Et tu gère toi meme un delai au bout duquel il n'aura plus acces.

Ce fichier te permettra en plus de te faire des logs des accès