Tomcat realm et session attributes

Bonsoir ,

Je développe actuellement une application en J2E qui utilise Struts 2 et tomcat v6

J'ai une page de login ou l'utilisateur saisira son mot de passe en utilisant un clavier virtuel (que j'ai crée au préalable).

Avant de faire apparaître le clavier, j'ai une action Struts qui va générer un affichage aléatoire des caractères sur le clavier. Cette action encode également les caractères pour des raisons de sécurité, et enregistre les informations en session.

L'authentification est faite pour le moment avec un Realm JDBC avec tomcat

Je souhaite donc pouvoir décoder le mot de passe utilisateur avant l'authentification. Pour cela j'ai tout d'abord essayé d'utiliser les filtres avec pour url-pattern "j_security_check". Mais après tests et renseignements, je me suis aperçu que cela n'était pas possible.

J'ai également essayé de récupérer la session depuis le realm en utilisant la méthode ServletActionContext.getRequest(), sans plus de succès car j'obtiens un null pointer exception.

Est-il possible d'obtenir le code stocké en session précédemment depuis le realm ?

Si non, une autre solution existe-t-elle ? car je n'ai rien trouvé pour m'aider à faire cela autrement.

Merci d'avance.

Au lieu de pointer vers j_security_check, tu pourrais pointer vers une action standard et appeler la méthode login de Servlet pour utiliser l'authentification JEE, une fois ton mot de passe décodé.

j'ai du mal à comprendre en quoi cliquer, lentement, sur un clavier virtuel à l'écran, que tout le monde derrière toi peux voir à 20m est plus sécurisé que de tapper le mot de passer sur un clavier physique....

Merci de vos réponses,

L'action servlet n'est pas envisageable car cela implique de ne plus utiliser les realm.
J'utilise le Realm JDBC pour l'authentification utilisateur, cependant j'utilise également un realm LDAP pour les utilisateurs interne de l'entreprise.
Si j'implémente une action servlet pour l'authentification, je devrais faire la gestion de session et des rôles "à la main" et refaire également l'authentification LDAP, ce qui me semble assez lourd.

L'objectif du clavier étant d'éviter les logiciels de type keylogger ou autre ainsi que d'avoir une requête en clair avec le mot de passe. Après en effet cela n'empêchera pas en effet que quelqu'un le voit par derrière mais là c'est la responsabilité de l'utilisateur et plus de l'application.

Je pense que tu n'as pas bien compris ce que je te propose, la méthode login de la classe HttpServletRequest permet justement d'appeler l'authentification par REALM:
https://docs.oracle.com/javaee/6/api...a.lang.String)

Mais tu pourrais l'appeler de ton action Struts après avoir décodé ton mot de passe, au lieu de faire un appel direct à partir de ta vue.

Exact, je n'avais pas bien compris la solution, je regarde ça merci de la réponse rapide

Bon après avoir migré pour la version 7 de tomcat, j'ai pu utiliser la méthode login et parvenir à finir mon système de connexion.
J'ai juste rencontré un problème qui est que si l'utilisateur ne possède pas un compte LDAP, l'authentification échoue et ne teste pas le realm JDBC.
J'ai donc inversé l'ordre des deux pour que la méthode le teste en premier et maintenant tout marche niquel.

Merci beaucoup pour l'aide.