Discussion :

[willoi]

L'architecture est la suivante:
* WebServices CXF
* Couche métier pilotée par Spring

La question est simple:
Comment injecter une session (ou equivalente) dans Spring Security sachant qu'il n'y'a pas de conteneur de Servlet en amont pour stocker cette session(ou identifiant) ?

Pouvez-vous m'indiquer ou je peux avoir cette information ?
Peut-être faut-il utiliser autre chose que la session http dans une archi sans conteneur de servlet ?

Merci de vos réponses

[willoi]

Je vais reformuler ma question car j'avoue que ce n'est pas très clair.

En gros est-il possible de gérer plusieurs utilisateurs a travers une seule session avec Spring Security?

Vous allez me dire, pourquoi ?
En fait, les utilisateurs se connectent via leurs browser qui rerige l'info vers uen appli en php. Jusque la nous avons bien le couple 1 session= 1 utilisateur
Mais il se trouve que cette appli php dialogue avec l'appli Java en question via des webservices. En outre, une seule session est creee lors de ce dialogue, bien que des utilisateurs différents se soient connectés depuis leur navigateur.

Que me conseillerez vous pour mettre en place une strategie de securité avec cette architecture ?

[willoi]

Il n'y'a visiblement pas de solution si ce n'est mettre en place un gestionnaire de session en amont de la couche Spring.

Je mets donc ce post en delestage