IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Spring Java Discussion :

spring security certificat [Security]


Sujet :

Spring Java

  1. #1
    Membre éclairé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    358
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 358
    Par défaut spring security certificat
    Bonjour,

    je suis actuellement sur un projet, on est en phase de cadrage.

    J'aurai une petite question sur l'authentification par certificat avec spring security.

    Un utilisateur se connecte à notre appli via un certificat.

    Pour cela, il passe par un reverse proxy qui lui récupère un identifiant du certificat et qui le transmet dans le header de la requête HTTP.

    Puis un contrôle de cette identifiant est effectué via LDAP pour récupérer ses rôles, si le contrôle est OK, il accède à notre application, sinon il est rejeté.

    J'aimerai savoir comment vous ferez pour configurer spring security pour réaliser ça.

    Car en faisant quelques recherches sur le net, on peut déclarer l'authentification par formulaire ou par une autorisation basic.... J'arrive pas à voir comment le faire en amont c'est à dire pas par formulaire.

    En gros, il s'agit d'une authentification via url et non pas par formulaire


    Je vous remercie par avance.

  2. #2
    Membre Expert
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2003
    Messages : 1 047

  3. #3
    Membre éclairé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    358
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 358
    Par défaut
    je m'occupe pas du traitement du certificat, il y a déjà un proxy qui s'occupe de traiter le certificat. Le proxy récupère de ce certificat un champ (par ex Identifiant), et transmet la valeur de l'identifiant dans le header de la requête que nous récupérons.

    C'est à partir d'ici que notre application intervient, je dois récupérer ce login et récupérer ses rôles depuis le serveur LDAP.

    En gros, c'est comme si j'accèdais à l'application avec le login (identifiant) dans la requête d'accès à l'application.

    Si l'identifiant est inconnu, on affiche pas l'écran d'accueil du site et on le redirige vers une page d'erreur.

    J'ai déjà vu sur la document de springsecurity sur la maniere de s'authentifier mais là, c'est un peu différent, je n'ai pas de formulaire de login ou d'authentification BASIC (pop up du navigateur).

  4. #4
    Membre Expert
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2003
    Messages : 1 047
    Par défaut
    je m'occupe pas du traitement du certificat, il y a déjà un proxy qui s'occupe de traiter le certificat. Le proxy récupère de ce certificat un champ (par ex Identifiant), et transmet la valeur de l'identifiant dans le header de la requête que nous récupérons.

    C'est à partir d'ici que notre application intervient, je dois récupérer ce login et récupérer ses rôles depuis le serveur LDAP.

    En gros, c'est comme si j'accèdais à l'application avec le login (identifiant) dans la requête d'accès à l'application.
    Donc tu es déjà authentifié, et dans ce cas : http://static.springsource.org/sprin...e/preauth.html

  5. #5
    Membre éclairé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    358
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 358
    Par défaut
    Donc tu es déjà authentifié, et dans ce cas : http://static.springsource.org/sprin...e/preauth.html
    Il s'agit bien de cela, j'avais trouvé ça vendredi soir !

    C'est exactement cela qui m'intéresse !

  6. #6
    Membre éclairé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    358
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2007
    Messages : 358
    Par défaut
    par contre il y a une chose que je ne comprend pas.

    à quoi sert PRE_AUTH_FILTER ?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    <bean id="preAuthenticatedProcessingFilter" class="org.springframework.security.ui.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter">
    	<security:custom-filter position="PRE_AUTH_FILTER" />
    	<property name="principalRequestHeader" value="USERNAME" />
    	<property name="" value="authenticationManager" ref="authenticationManagerAlias" />
    </bean>

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [Spring Security] implementer son propre UserDetailService
    Par santati dans le forum Spring Web
    Réponses: 0
    Dernier message: 14/01/2009, 10h34
  2. [Spring Security] question concernant un filtre d'ACEGI
    Par flamant dans le forum Spring Web
    Réponses: 2
    Dernier message: 22/10/2008, 07h37
  3. [Security] Spring security VS JAAS
    Par Sniper37 dans le forum Spring
    Réponses: 2
    Dernier message: 21/08/2008, 16h54
  4. [Spring Security] Authentification par groupe LDAP
    Par titeuf92 dans le forum Spring Web
    Réponses: 2
    Dernier message: 25/06/2008, 10h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo