Discussion :

[S_ami]

Bonjour tt le monde,
je travaille sur une application JEE sur netbeans avec visual JSF.
je suis face à un petit problème qui est la restriction d'accès directe à certaines pages jsp.
je gère les rôles travers des méthodes qui s'exécutent automatiquement lors d'appuis sur un bouton ou un lien hypertext et qui retournent une valeur au navigateur, et selon les droits de l'utilisateur connecté je redirige ou nn l'utilisateur en utilisant les navigation roles.
mais si jamais quelqu'un copie l'URL d'une page protégée le navigateur affiche cette page.
alors j'ai utilisé les contraintes de sécurités, et j'ai écrit le bout de code suivant dans le fichier web.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
    <security-constraint>
        <web-resource-collection>
        <web-resource-name>No-JSF-JSP-Access</web-resource-name>
        <url-pattern>/Web2/faces/DataSal.jsp</url-pattern>
        </web-resource-collection>
        <auth-constraint>
        <description>Pas de rôles, donc pas d’accès direct</description>
        </auth-constraint>
    </security-constraint>

j'ai protégé la page DataSal.jsp qui contient des données que seuls les utilisateurs privilégiés peuvent les consulter!
mais toujours je peux accéder directement à cette page.

Merci de votre help.

[gronono]

Salut,

Tu peux mettre tes jsp dans le dossier WEB-INF.

Si tu respectes bien le MVC, les pages jsp ne doivent jamais être appelées directement.
En principe tu devrais toujours passer par une Servlet.

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Tu peux mettre tes jsp dans le dossier WEB-INF.

Ce repertoire n'est pas conçu pour. les jsp je les laisse moi à la racine de ma webapp. Dans ton cas je t'aurais bien suggéré un filtre qui redirigerait vers une page de login si l'utilisateur n'etait loggé et essayait d'acceder à un jsp.

[gronono]

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

Si tu veux les mettre à la racine, il faut que tu les protèges pour pas qu'elles soient accessibles directement.

La problématique ne se limite pas qu'au login.
Si tu accèdes directement à ta jsp, tu risques ne pas avoir toutes les infos nécessaire pour l'afficher (variables de session, de request, ...)

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.

[libuma]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.

Tout à fait d'accord.