Discussion :

[Lourpiop]

Bonjour,
j'ai un problème pour intercepter les url car jsf les transforme.
Résultat: le pattern dans intercept-url n'est plus valable.
(Je voudrais filtrer par exemple tous les fichiers se trouvant dans le répertoire /admin/).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<http auto-config="true" once-per-request="false">
        <intercept-url pattern="/admin*" filters="none" />
       <form-login
       ...
       <form-login/>
</http>

[thebloodyman]

Je ne suis pas un gourou de Spring Security et de JSF mais vu le peu de réponses, je vais te donner mon avis.

Avant tout, tu as essayé avec le pattern

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
/admin/**

??

Concernant JSF, tu entends quoi par 'jsf les transforme' ?

A ma connaissance, JSF mappe simplement l'url appelée vers une vue.

Par exemple, si tu as une url jsf de type "/admin/voirInfos.faces" que tu souhaites protéger, le pattern "/admin/**" te le permettra.
Ca t'importe peu qu'apres JSF transforme ton url avec une extension .xhtml ou .jsp ou meme la préfixe, puisque l'utilisateur ne pourra pas requêter ces vues (à partir du moment ou elles sont dans WEB-INF).

[Lourpiop]

Salut,

Par transforme je veux dire que si je clique sur une nouvelle vue, l'url va rester figer dans la barre de navigation. C'est lorsque je vais cliquer sur la page suivante que l'url va "avancer" d'un coup. Il aura donc toujours une page de retard.
En fait j'avais effectviement, en plus, un problème sur le pattern!!
Pour l'histoire d'url, je fais un redirect dans les cas de navigation du facesconfig, ce qui raffraichit la page et donc l'url...

merci pour ta reponse,
@+!!

[thebloodyman]

Je vois ce que tu veux dire.
L'url que t'affiches le navigateur n'est pas à jour avec JSF puisque les formulaires qu'ils génèrent utilisent la méthodes POST.
C'est clair, c'est pas top : on a du mal à se situer, bookmarker, double submit possible ...etc..
On utilise aussi le redirect sur notre projet.

Par contre, les urls appelés restent néanmoins protégées puisqu'elles restent intactes lorsque le navigateur les soumet au serveur (c'est seulement la localisation actuelle indiquée par le browser qu'il n'est pas à jour).

Le problème de sécurisation des URLs provenait donc surement du pattern d'url :-)