Discussion :

[lezert]

Bonjour,

Je viens de développer une application en java/J2EE avec du JSF.

Mon application se compose de plusieurs pages dont une page d'authentification où l'utilisateur entre son login/mp.

Le problème est que s'il rentre directement dans la barre d'adresse l'url d'une page de l'application sans être loger (il saute ainsi la page accueil authentification), il accède au contenu de cette dernière.

Comment faire pour empêcher cela ?

Merci d'avance pour vos réponses.

[fr1man]

Soit tu le fais à la main en utilisant les filtres, soit tu paramètres ton fichier web.xml pour protéger tes pages.

[lezert]

Merci pour ta réponse.

Soit tu le fais à la main en utilisant les filtres

Désolé, mais je vois pas trop ce que tu veux dire.
En effet, si on se connecte à la page accueil alors on a bien la page authentification qui est ouverte ou l'utilisateur doit entrer son mot de passe et valider pour accéder à la page suivante.

Le problème est comment empêcher que l'utilisateur entre dans la barre d'adresse du navigateur: http://localhost/Appli/page2.jsp...
Dans ce cas il saute la page http://localhost/Appli/authentification.jsp...

soit tu paramètres ton fichier web.xml pour protéger tes pages.

Et je ne vois pas comment paramétrer cela dans le fichier web.xml

Merci d'avance.

[OButterlin]

Filtre :

Lorsque tu fais l'authentification, tu places quelque chose dans la session qui permette de savoir que tu es authentifié.
Ton filtre n'a plus qu'à tester cet objet et en cas d'absence, rediriger vers l'authentification.

web.xml :

Il faut mettre en place les sécurités via <security-constraint>


La solution 2 est la mieux...

[fr1man]

Ce qui est placé dans ton répertoire WEB-INF n'est pas accessible directement via l'URL.
C'est déjà un bon début.

[lezert]

Merci pour ta réponse.

Dans un premier temps je vais utiliser la solution 1...

Pour cela je fais dans ma page JSP:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<%
PaydClientBean bean =(PaydClientBean)session.getAttribute("clientBean");
			
if(!bean.isConnect())
{
      // Erreur il faut afficher la page d'acceuil
      // Comme faire cette redirectino en java ?????
}
%>

Merci d'avance pour votre aide.

[DevServlet]

Si tu veux utiliser les filtres, suis simplement mon exemple. t'as rien comme programmation dans tes jsp.

[lezert]

Ce qui est placé dans ton répertoire WEB-INF n'est pas accessible directement via l'URL.
C'est déjà un bon début.

Donc je mets toutes mes pages dans le dossier WEB-INF sauf ma page authentification. D
ans mon fichier faces-config devant toutes mes adresses de page je rajoute :

Au lieu de:

<from-view-id>/page1.jsp</from-view-id>
<navigation-case>
<from-outcome>success</from-outcome>
<to-view-id>/page2.jsp</to-view-id>


je fais

<from-view-id>WEB-INF/page1.jsp</from-view-id>
<navigation-case>
<from-outcome>success</from-outcome>
<to-view-id>WEB-INF/page2.jsp</to-view-id>


Où le WEB-INF est inutile ???

Merci d'avance pour votre aide, vous êtes super sympa.

[DevServlet]

Un filtre est une classe java par laquelle passent toutes tes requetes d'accès au serveur, tu peux donc y programmer le fait que si une session n'est pas ouverte alors il te redirige automatiquement dans la page de login.exemple de filtre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<filter>
  <display-name>Session Filter</display-name>
  <filter-name>name_filter</filter-name>
  <filter-class>ton_package.TaClasseFilter</filter-class>
 </filter>

Utilisation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<filter-mapping>
  <filter-name>name_filter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

Et un exemple de ta classe Filter :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
 
 
public class TaClasseFilter implements Filter{
 
  /**
   * 
   */
  public void destroy() {
    // TODO Auto-generated method stub
    /**
     * 
     */
  }
 
  /**
   * 
   */
  public void doFilter(ServletRequest request, ServletResponse response, 
    FilterChain filterChain) throws IOException, ServletException { 
    if ((request instanceof HttpServletRequest) 
      && (response instanceof HttpServletResponse)) { 
      HttpServletRequest hRequest = (HttpServletRequest) request; 
      HttpServletResponse hResponse = (HttpServletResponse) response; 
 
      if (checkResource(hRequest)) { 
    	  String timeoutUrl = null;
    	  timeoutUrl = hRequest.getContextPath() + ConstantDivers.LOGIN_URL_PAGE;
        if (checkSession(hRequest)) { 
          logger.info("doFilter :Session is invalid!");
          hResponse.sendRedirect(timeoutUrl); 
          return; 
        }
          if (hRequest.getSession(false) != null) { 
            HttpSession session = hRequest.getSession(false);
            AbstractUser aUser = (AbstractUser)session.getAttribute(ConstantDivers.CURRENT_USER_IN_SESSION);
            if (aUser == null) { 
              logger.info("Session is invalid! redirecting to login Page: {}");
              hResponse.sendRedirect(timeoutUrl);
              return; 
          }
        }
      }
 
    } 
    filterChain.doFilter(request, response); 
  } 
 
  @SuppressWarnings("cast")
  private boolean checkResource(HttpServletRequest request) { 
    String requestPath = request.getRequestURI(); 
    HttpServletRequest hRequest = (HttpServletRequest) request; 
    logger.debug("checkResource"+ requestPath);
    return !(requestPath.contains("css") || requestPath.contains(ConstantDivers.LOGIN_URL_PAGE) ||  requestPath.equals(hRequest.getContextPath() + "/"));
 
  } 
 
  private boolean checkSession(HttpServletRequest request) { 
    return request.getRequestedSessionId() != null 
        && !request.isRequestedSessionIdValid(); 
  } 
 
 
  /**
   * 
   */
  public void init(FilterConfig arg0) throws ServletException {
    // TODO Auto-generated method stub
 
  }
}