Discussion :

[jmartell]

Bonjour,

voila je developpe une appli J2EE avec JBoss 4.0.2, Struts et Hibernate.
J'essaye d'utiliser j_security_check pour la gestion de la sécurité mais je ne comprends pas trop grand chose à ce qui se passe...

Voila ma config:

web.xml:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<security-constraint>
     <web-resource-collection>
       <web-resource-name>HtmlAdaptor</web-resource-name>
       <url-pattern>/Ecran_Admin.jsp</url-pattern>
       <http-method>GET</http-method>
       <http-method>POST</http-method>
     </web-resource-collection>
     <auth-constraint>
         <role-name>admin</role-name>
     </auth-constraint>
   </security-constraint>
 
   <login-config>
      <auth-method>FORM</auth-method>
      <form-login-config>
         <form-login-page>/login.jsp</form-login-page>
         <form-error-page>/loginErreur.jsp</form-error-page>
      </form-login-config>
   </login-config>
 
   <security-role>
      <role-name>admin</role-name>
   </security-role>

login-config.xml:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?xml version='1.0'?>
<!DOCTYPE policy PUBLIC
      "-//JBoss//DTD JBOSS Security Config 3.0//EN"
      "http://www.jboss.org/j2ee/dtd/security_config.dtd">
 
<!-- Security domain for JBossMQ AUTORENT -->
    <application-policy name = "jbossmq">
       <authentication>
          <login-module code = "org.jboss.security.auth.spi.DatabaseServerLoginModule" flag = "required">
             <module-option name = "unauthenticatedIdentity">guest</module-option>
             <module-option name = "dsJndiName">java:/autoWorkDS</module-option>
             <module-option name = "principalsQuery">SELECT password FROM users WHERE username=?</module-option>
             <module-option name = "rolesQuery">SELECT userRoles, Roles FROM userroles WHERE username=?</module-option>
          </login-module>
       </authentication>
    </application-policy>

jboss-web.xml:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
   <security-domain>java:/jaas/jbossmq</security-domain>
</jboss-web>

et j'ai deux tables dans ma base sql:

users(username, password, utilID)
userroles(username, userRoles, Roles)

Voila dans mon formulaire login.jsp je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<form method="POST" name="loginForm" action="j_security_check">
  <input type="text" name="j_username"/></div>
  <input type="password" name="j_password"/>
  <input type="submit" value='VALIDER'/>
  <input type="reset" value='RAFRAICHIR'/>
</form>

et ce qui se passe c que même si je saisi le bon username et le bon mot de passe dans ce fomulaire je suis redirigé vers ma page d'erreur de login loginErreur.jsp comme défini dans mon web.xml...

Alors je ne sais pas trop quoi faire pour assurer l'authentification d'autant plus que j'aimerai une fois l'utilisateur authentifié le rediriger vers une section spécifique du site via une Action Struts...

Voila merci d'avance pour le coup de main je galère la...

[jmartell]

Bon j'arrive deja mieux à saisir le fonctionnement de j_security_check...

Le principe que je souhaite mettre en place est un principe de filtre qui lorsqu'un utilisateur souhaite accéder à une page sur laquelle j'ai défini des contraintes de sécurité il soit redirigé vers la page de login basée sur j_security_check.

La question que je me pose maintenant est de savoir si je peux faire un formulaire d'identification classique Struts et faire en sorte que si l'utilisateur est bien authntifié en tant qu'admin il puisse par la suite accéder aux pages normalement.
Je m'explique mieux:
- quand je redirige vers un formulaire de login avec j_security_check ça positionne les attributs j_username et j'imagine roleName
- quand j'utilise un formulaire d'identification classique Struts sans j_security_check est-ce que je peux positionner ces attributs dans l'Action Struts afin qu'il soit bien identifié??

Merci de me répondre

[zekey]

Je ne crois pas que tu puisse utiliser un form struts et une action pour l'identification, mais cependant tu peux dire à une action qu'elle doit satisfaire à un role:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<action path="/add"
        type="com......"
        name="addForm"
        scope="request"
        validate="true"
        input="/add.jsp"
        roles="administrator">
</action>

[zekey]

Si tu veux utiliser un formulaire struts, il te faudra passer outre le mécanisme des realms. Et faire ton authentification toi-même puis utiliser une extention du RequestProcessor de struts pour verifier à chaque requête si le user est authentifié dans la session. En prenant bien soin de mettre toutes les pages jsp non publique derrière WEB-INF

[jmartell]

Ouais.. donc en fait j_security_check et struts c pas trop compatible si on veut faire un formulaire d'authentification?

Soit je fais un formulaire d'authentification et je gere tout avec struts soit quand un utilisateur souhaite accéder à une zone protégée je gère l'authentification avec j_security_check... C bien ça??

[zekey]

Oui je ne vois pas vraiment d'autres alternatives

[diabolo512]

Bonjour,

Oui je ne vois pas vraiment d'autres alternatives

comme indiqué récemment dans un post,
tu peux aussi utiliser jGuard(http://www.jguard.net) pour une authentification et une gestion des autorisations basé sur JAAS, portable entre les serveurs d'applications, et utilisable avec Struts(cf la webapp d'exemple basé sur struts).


Charles(jGuard team).