Discussion :

[JOJO_DE_LYON]

Je travaille actuellement sur un projet e-commerce dont l'authentification est gérée par l'api Spring Security 3.

L'appli est configurée pour utiliser la fonctionnalité de Remember Me, qui utilise un cookie pour stocker sur le poste client les informations d'identification, permettant ainsi au client lorsqu'il revient sur l'application d'être authentifié automatiquement, sans avoir à saisir à nouveau login et mot de passe.

Mais ce type de fonctionnement ne me convient pas en totalité car en l'état, la personne qui utiliserait l'ordinateur d'un client pourrait se faire passer pour lui et accéder ainsi à ses infos personnelles, et passer commande. L'idée est donc de bien différencier identification et authentification, comme cela se fait actuellement sur certains sites e-commerce tels que fnac.com. Quand la personne arrive sur le site, le cookie permet de savoir qui elle est et de lui dire "Bonjour M. Dupont". Mais si la personne tente d'accéder à certains espaces "stratégiques" de l'application, tels que la page "Mon compte", ou la validation du panier, celle-ci se voit proposer une page de login l'obligeant à saisir son identifiant et son mot de passe. Le tout est de s'assurer que la personne identifiée est bien celle qui est derrière le clavier.

Existe-t-il au sein de Spring Security quelque chose qui permettrait de gérer cela? Dans le cas contraire, quelqu'un a-t-il déjà mis en place de type de fonctionnement?

[Hikage]

Je n'ai jamais testé par moi même mais Spring Security fournit un mécanisme pour cela.

http://static.springsource.org/sprin...nticated-voter

http://static.springsource.org/sprin...atedVoter.html

Une fois configuré tu peux vérifier si l'utilisateur est :

IS_AUTHENTICATED_FULLY : Authentification forte
IS_AUTHENTICATED_REMEMBERED : Authentification cookie
IS_AUTHENTICATED_ANONYMOUSLY : anonyme