[jsp][servlet] Sécurisation d'une servlet

Version imprimable

Salut a tous,

je cherche a restreindre l'acces a une de mes pages jsp en fonction d'un utilisateur ou d'un groupe ayant des droits. C'est a dire que en fonction de qui demande la page, je l'affiche ou j'affiche une page lui indiquant qu'il n'a pas acces a ce contenu.

Apres moultes recherches j'ai mis en place un truc de ce style :

Dans ma servlet :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 /** * Permet de savoir si un utilisateur est authentifié ou pas * @param requete la requette http * @return true si l'utilisateur a les droit d'accéder a la suite */ private boolean estAuthentifie(HttpServletRequest requete){ Principal principal = requete.getUserPrincipal(); if(principal == null){ return false; } String remoteUser = principal.getName(); remoteUser = requete.getRemoteUser(); return requete.isUserInRole("User"); }
là viens le probleme, comment definir le role "User" et ou ? Because ici, le "requete.getUserPrincipal();" renvoie null, forcément puisque je ne l'ai defini nulle part !

j'ai tenté dans le web.xml puis dans le application.xml de mettre
Code:

1 2 3 4 5 <security-role> <description> utilisateur</description> <role-name>user</role-name> </security-role>
ou :
Code:

1 2 3 4 <security-role-ref> <description> permet de relier le role name a l'element reel </description> <role-name>User</role-name> </security-role-ref>
mais alors que ce soit l'une ou l'autre solution, le serveur me sort une erreur :
Code:

1 2 Severity Description Resource In Folder Location Creation Time 2 cvc-complex-type.2.4.a : Contenu non valide commençant par l'élément 'security-role-ref'. Contenu de '{"http://java.sun.com/xml/ns/j2ee":security-role}' attendu. application.xml Racine/META-INF line 28 16 février 2006 10:28:46
alors, je commence a pédaler dans la semoule, je ne vois plus par ou je peux avancer ...

16/02/2006, 11h15
Sniper37

il faut définir les security-constraint dans le web.xml ..

voilà un peu de docs ..

http://tomcat.apache.org/tomcat-5.5-...ger-howto.html

:wink:

J'avais deja essayé de bidouiller un truc dans ce style :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 <security-constraint> <display-name> User</display-name> <web-resource-collection> <web-resource-name>tout</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <description> </description> <role-name>User</role-name> </auth-constraint> </security-constraint>
mais ca ne change rien :(

Et pour info j'utilise un serveur WebSphere et non pas TomCat, ce qui ne m'arrange pas vraiment ;)

16/02/2006, 14h14
Sniper37

ahh ok;
faut regarder la doc de ton serveur :roll: ..
16/02/2006, 14h31
diabolo512

Bonjour,
tu peux aussi regarder du côté de jGuard: www.jguard.net
:)

Charles(jGuard team).
16/02/2006, 15h58
Gromitou

Merci de vos réponses.

Pour ce qui est de la doc de websphere, vous pensez bien que c'est la premiere choses que j'ai fait apres mon ami Google ! J'y ai trouvé plusieurs choses, c'est ça qui m'a permis d'ecrire le code que j'a icité plus haut. Le probleme c'est que ce code marche pas. D'autres part, il est souvent fait référence a un outil (AAT) mais qui est spécifique a la version 4, j'utilise la 6...

Bref, ca fait un moment que j'ai fait le tour de la doc officielle mais la les neuronnes chauffent :)

Pour ce qui est de jguard, je suis loin d'etre contre, au contraire, j'ai regardé Acegi aussi mais j'aimerais bien faire tourner ca a la main d'abord, c'est quand même super louche que websphere avec ses wattmiles assistants dans tous les sens ne permette pas ça "presque" facilement (au moins pas beaucoup plus dur que les tomcat, jboss, sun and co) !!!
16/02/2006, 18h32
miagomiago

allo
moi je vois une solution plus simple que ca!! je ne sais pas si tu as déja pensé a ça!!
quand ton utilisateur s'authentifie au début ds ton appli!! alors tu dois lui accorder un role!! et tu dois ajouter ce role a sa session (setAtribute(nom, valeur)), apres!! si un user veut acceder a ta jsp tu vas extraire son role de sa session (getAtribute(nom)) et selon se role tu vas lui permettre d'acceder ou non a ta jsp
:)

Bonjour

Tu dois tout d'abord déclarer les pages protégées et les roles ayant accès dans le fichier web.xml:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 <security-constraint> <display-name>Test d'authentification</display-name>  <web-resource-collection> <web-resource-name>Page sécurisée</web-resource-name> <url-pattern>/admin/*</url-pattern> </web-resource-collection>  <auth-constraint> <role-name>User</role-name> </auth-constraint> </security-constraint> <login-config>  <auth-method>BASIC</auth-method> <realm-name>Espace Membres</realm-name> </login-config>  <security-role> <description>Administrateur</description> <role-name>User</role-name> </security-role>
Cela demandera une authtentification à l'utilisateur.si ce n'est pas déja fait.

Tout ce qui suit est spécifique a WAS que je ne connait pas du tout, mais les grandes lignes sont:

1: Declarer le royaume sur les serveur dont le nom est égal à celui dans le web.wml

2: dans la configuration du serveur pour ce royaume, il faut ajouter les utilisateurs et les roles auxquels ils appartiennent.

3: Si il y a un descripteur de déploiement spécifique sur WAS6 il doit contenir un mapping entre les roles applicatifs et les roles déclarés sur le serveur pour le royaume

Cordialement

17/02/2006, 12h17
Gromitou

Citation:

Envoyé par willy78

Cela demandera une authtentification à l'utilisateur.si ce n'est pas déja fait.

Tout ce qui suit est spécifique a WAS que je ne connait pas du tout, mais les grandes lignes sont:

1: Declarer le royaume sur les serveur dont le nom est égal à celui dans le web.wml

2: dans la configuration du serveur pour ce royaume, il faut ajouter les utilisateurs et les roles auxquels ils appartiennent.

3: Si il y a un descripteur de déploiement spécifique sur WAS6 il doit contenir un mapping entre les roles applicatifs et les roles déclarés sur le serveur pour le royaume

Cordialement

Le probleme est la justement. Parceque lorsque je deploie mon appli sous JBoss, une boite d'autehnfication apparait et je peux la passer (j'ai ajouter les fichiers qui vont bien dans le repertoire de conf de JBoss). Une probleme se pose apres mais l'authenfication roule. Pare contre sous Websphere, il ne me demande jamasi rien et m'affiche les pages sans restriction !

J'ai beau eu épluché la doc, je ne vois pas comment et ou faire l'équivalent sous WebSphere. Ca doit surement se jouer dans la page "sécurité>Sécurité globale" mais je ne vois rien en rapport avec des realm ou des royaumes ;)

Encore une fois, c'est surement tout con, mais quand on connait pas ...