[PrimeFaces] - sécurisation de l'application

Version imprimable

Bonjour,

je souhaite sécuriser mon application.
j'ai mis en place dans le fichier web.xml :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 <security-constraint> <display-name>Admin Pages</display-name> <web-resource-collection> <web-resource-name>Authentification</web-resource-name> <url-pattern>/*</url-pattern> <http-method>POST</http-method> <http-method>HEAD</http-method> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> </web-resource-collection> <auth-constraint> <role-name>calcul</role-name> </auth-constraint> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint>
ça fonctionne presque très bien sauf que dans mon code j’accède aux images via l'url (img/legende.png par exemple) donne des réponses du serveur (401) lorsque je veux les ouvrir.

est-ce que je peux exclure une partie du site de la sécurité ?

merci d'avance

17/05/2018, 14h40
fr1man

Et en jouant avec l'url pattern, avec un valeur de type "/sec/*" ?
Tu mets tout ce que tu veux sécuriser accessible à partir de /sec et le reste non.

Ok merci

exemple:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
 <security-constraint>
		<display-name>Free pages</display-name>
		<web-resource-collection>
			<web-resource-name>partie libre</web-resource-name>
			<url-pattern>/img/*</url-pattern>
		</web-resource-collection>
	</security-constraint>
 
    <security-constraint>
    	<display-name>Admin Pages</display-name>
		<web-resource-collection>
			<web-resource-name>Authentification</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>POST</http-method>
			<http-method>GET</http-method>
			<http-method>HEAD</http-method>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
		</web-resource-collection>
 
		<auth-constraint>
			<role-name>calcul</role-name>
		</auth-constraint>
 
		<user-data-constraint>
			<!-- transport-guarantee can be CONFIDENTIAL, INTEGRAL, or NONE -->
			<transport-guarantee>NONE</transport-guarantee>
		</user-data-constraint>
	</security-constraint>