Discussion :

[kayoum]

Bonjour, je suis en train de développer une application client-serveur en java
L'architecture est grosso modo la suivante:
-une application client lourd faite avec swing, en utilisant le conteneur spring

-un serveur applicatif tomcat pour la couche métier/accès aux données/pilotage des processus, (je pense utiliser AXIS) communiquant avec les base de données (insertion, affichages, mises à jour)

Plusieurs utilisateurs vont devoir utiliser le logiciel, et j'aimerais qu'ils s'authentifient par login et mot de passe, et ainsi mettre en place une stratégie basée sur l'autorisation aux ressources du logiciel selon leurs login et mot de passe. Exemple, si l'utilisateur 1 se connecte, il aura certains boutons, certains menus, et si l'utilisateur 2 se connecte il aura d'autres fonctionnalités.

Je pense gérer cette notion d'utilisateurs et de "rôles" dans une base de données elle aussi accédée via les webservice depuis les applications clientes.

Bien sur je pourrais coder ca en dur et à chaque construction d'élément graphique, interroger une structure qui me dirais si l'utilisateur peut accéder à leélément mais je dois respecter le principe de couplage faible, cohérence forte, induit par Spring.
Spring me permet de definir et de rendre flexible l'ajout et la suppression de tous mes éléments (classes graphiques, classes de contrôles, classes d'accès aux services) mais je ne vois pas du tout comment mettre en place cet aspect de sécurité la dedans.

Des idées ou des tutoriels ?

Merci d'avance

Guillaume

[thebloodyman]

Bien sur je pourrais coder ca en dur et à chaque construction d'élément graphique, interroger une structure qui me dirais si l'utilisateur peut accéder à leélément mais je dois respecter le principe de couplage faible, cohérence forte, induit par Spring.

Je vois pas en quoi interroger une structure qui te dit si l'utilisateur peut ou accéder ou non à un élément graphique est incompatible avec un couplage faible et une cohérence forte.

Une factory d'ihm qui proposerait des méthodes de création d'ihm selon le rôle de l'utilisateur apporterait une cohérence forte et un couplage faible avec le reste de l'application.

Spring me permet de definir et de rendre flexible l'ajout et la suppression de tous mes éléments (classes graphiques, classes de contrôles, classes d'accès aux services) mais je ne vois pas du tout comment mettre en place cet aspect de sécurité la dedans.

Spring Security pourrait t'aider.
Il te permettrait d'autoriser ou non un utilisateur à certains droits selon ses rôles. Mais ma foi, Swing et les applications Desktop ne sont pas super adaptées à beaucoup des artefacts fournis par Spring Security.
Par exemple, la sécurisation des urls ne sert à rien.
La sécurisation des méthodes est bien moins utile
etc...

Tu pourrais quand même sécuriser l'appel aux méthodes créant les composants graphiques en définissant sur chaque méthode les rôles autorisés.
Mais la encore, ce n'est pas très adapté puisqu'il faudrait appeler les méthodes sécurisées de création de composants graphiques de chaque type d'utilisateur pour chaque page alors qu'un seul type d'utilisateur accède à la page. Ca ressemble à essayer de rentrer un rond dans un carré...

Utiliser les rôles gérés pas Spring Security + une factory de création de pages qui crée les composants de la page selon les rôles de l'utilisateur me parait une solution plus adéquate et pratique à maintenir.