Discussion :

[summer_spring_moon]

Bonjour tout le monde,
Cela fait longtemps qu'on n'a pas répondu à mes questions alors j'espère que cette fois j'aurais une réponse
Je ne sais pas si je suis sur le bon forum mais j'ai croisé pas mal de discussions à propos de JAAS avec JEE mais je vous assure que c'est pas comme mon cas surtout que je suis débutante alors je sais pas par où commencer.

Je développe une application de gestion des ressources humaines (Netbeans, glassfish, jsf 2.0, Hibernate) que j'aimerais sécuriser :
* Authentification par login et pass
* Autoriser accès à certaines pages et composants (bouton d'ajout par exemple) selon login/pass et interdire d'autres pages et composants.
* Interdire accès à l'application depuis l'URL.

D'abord est ce que JAAS pourrait m'aider à interdire accès au composants graphiques (bouton,lien,...). Par exemple, si l'utilisateur rempli un formulaire d'ajout et qu'il n'a pas le profil demandé, lorsqu'il clique sur le bouton d'ajout on le redirige vers une page de "vous n'avez pas le droit d'ajout".

Je n'ai pas les idées claires pour ce qui est JAAS et s'il y a un autre moyen plus facile que JAAS ou convenable à mon cas je vous prie de me le poster.

Merci d'avance

[summer_spring_moon]

J'aimerais aussi ajouter que je ne travaille pas avec les rôles et je travaille sous mysql dernière version.

[summer_spring_moon]

Aucune suggestion?
c'est bien dommage je croyais que cette fois-ci j'aurais une réponse.
Je n'avais le droit à une réponse qu'une seule fois

[fr1man]

Pour ce qui est de l'authentification et des autorisations par pages, tu peux le gérer assez facilement via le web.xml et éventuellement un peu de configuration de ton serveur d'application.
Regarde les balises <security-constraint> et <login-config>.

Pour ce qui est des boutons et des liens, tu vas à priori devoir le gérer dans ta couche présentation toi même.

Qu'est-ce qui t'empêche d'utiliser les rôles ?

[summer_spring_moon]

D'abord merci pour la réponse.
Pour ce qui est rôles je les créait sur Oracle mais j'ai croisé quelque part sur le net qu'il n y a pas moyen de créer des rôles sous mysql.
Sinon pour ce qui est gestion d'accès via mes boutons et lien, pourriez-vous m'éclaircir un peu comment faire depuis la couche présentation?

[summer_spring_moon]

Aussi j'aimerais savoir comment configurer mon serveur d'application.

Juste un point : Je travaille avec des pages xhtml et non pas jsp

Merci

[fr1man]

Tu peux très bien utiliser les rôles avec MySql, il faudra simplement créer les tables et colonnes adéquates.

Pour la configuration, cela dépend de ton serveur d'application.
La partie standard se trouve dans le web.xml.
Un petit exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
<security-constraint>
        <web-resource-collection>
            <web-resource-name>Secure Content</web-resource-name>
            <url-pattern>/</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>NONE</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
 
    <security-role>
        <description>The role required to access restricted content </description>
        <role-name>admin</role-name>
    </security-role>

La partie <security-constraint> permet de sécuriser l'accès à certaines pages selon une URL et pour un rôle donné.

La partie <login-config> permet de définir la méthode d'authentification utilisée

Enfin la partie <security-role> permet de définir les rôles utilisés.

Je te laisse te renseigner sur le web pour plus d'informations.


Tu n'as pas du tout de servlet ou jsp ?

[summer_spring_moon]

Je travaille avec JSF et j'ai opté pour des facelets au lieu des jsp (je travaille avec des templates) alors mes pages web sont des fichiers xhtml et vers la suite je ferais une redirection vers des pages avec extension .jsf

Merci pour les idées que vous m'aviez offertes je vais chercher la dessus et les essayer et je vous informe du résultat le plus rapide possible.

Merci encore une fois.

[summer_spring_moon]

J'ai réussi à résoudre une moitié de mon problème grâce à ces deux lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
FacesContext facesContext = FacesContext.getCurrentInstance();
        Authentification.AuthBean auth = (Authentification.AuthBean) facesContext.getApplication().getELResolver().getValue(facesContext.getELContext(), null, "AuthBean");

Ces deux lignes de codes m'ont permis d'accéder à une session de n'importe quel managed bean de mon projet. Alors avec ce code j'accède à la session du managed bean d'authentification "AuthBean" pour réccupérer le login/pass courant.

Ce qui me reste à faire et que je n'ai pratiquement aucune idée la dessus est que j'aimerais interdire aux utilisateurs d'accéder aux pages en tapant son URL.

Est-ce-que quelqu'un a une idée comment le faire? car comme ça je pourrais enfin finaliser la sécurité de mon application

[fr1man]

Tu peux mettre tes pages dans le répertoire WEB-INF, elles seront protégées contre un accès direct.

[summer_spring_moon]

Oui mais je travaille avec des facelets et j'ai lu dans une autre discussion sur ce forum que cette méthode ne fonctionne pas avec les facelets (juste les pages jsp)

[summer_spring_moon]

Est-ce qu'il y a des suggestions?

[summer_spring_moon]

c'est du gachi si je ferme cette discussion sans arriver à une solution.

J'espère que quelqu'un puisse me suggérer une solution ça m'aidera énormément comme ça aidera d'autres.

Merci

[moez123]

Bonjour,

Je te conseille de voir coté spring security (http://static.springsource.org/spring-security/site/)

[moez123]

Ou consulter mon blog sur ce thème : http://securityjee.blogspot.com/