Sécurité des pages JSF

Bonjour;
j'utilise Netbeans comme IDE, glassfish comme serveur et JSF(Primefaces) comme Framework.
je m'authentifie sur ma page index afin d'avoir accès au menu de mes pages. Mon problème est le
suivant: sans s'authentifier, quelqu'un peut juste saisir le nom (accueil.xhtml par exemple) sur la bare URL de mon navigateur
et accéder à ma page d'accueil. ce que je veux pas, comment puis-je interdire cela?
quand je mets mes pages dans mon web-inf, je sais plus comment les récupérer.
merci de me répondre.

Comment tu as mis en place ton authentification? Normalement il suffit d'indiquer ces page comme nécessitant d'être authentifié. A la riguer avec un role particulier si tu veux limiter plus. Ca se fait sur base de l'url.

Dans le contrôleur j'ai créé une méthode qui recherche un user par son login et passwprd. Si le user est trouvé, alors retourne moi "accueil.xhtml ? redirect=true" et return " " au cas contraire. Ça fonctionne bien mais le problème c'est si quelqu'un connaît qu'il y a une page accueil.xhtml et il part sur la barre URL remplacer index. Xhtml par accueil. Xhtml, il aura ma page accueil sans être identifié

Le principe du contrôle d'accès repose, en JSF ou autre techno Java Web, sur l'utilisation de filtres.

Exemples : https://thierrywasyl.wordpress.com/2...filter-in-jsf/
https://www.journaldev.com/7252/jsf-...tabase-example

On indique dans le web.xml que chaque requête doit passer par un filtre, lequel peut vérifier via la session ou la requête si l'utilisateur est connecté, quels ont ses droits... et autoriser la redirection selon l'url demandée et les droits de l'utilisateur.

Code:

---

1 2 3 4 5

<filter> <filter-name>Controle Acces</filter-name> <filter-class>fr.demo.web.AccesFilter</filter-class> </filter>

---

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57

import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession;     public class AccesFilter implements Filter { ...     @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {     HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res;     HttpSession session = (HttpSession) request.getSession();   // utilisateur connu ? Utilisateur utilisateur = (Utilisateur) session.getAttribute(Utilisateur.UTILISATEUR); boolean droitsOk = false;     if (utilisateur != null) {   String path = request.getRequestURI().substring(request.getContextPath().length()); // les URl sont du type /agent/action.xhtml , /admin/action.xhtml, ... if (path.contains("/agent/")) { if (utilisateur.isAgent()) { droitsOk = true; } } if (path.contains("/admin/")) { if (utilisateur.isAdmin()) { droitsOk = true; } } }     if (droitsOk) { // on pousuit la requête chain.doFilter(req, res); } else { // oops, redirection response.sendRedirect(request.getContextPath() + redirectionAccesDroitsInsuffisantsUrl); }     }

---

OK Merci, je vais implémenter avant de voir

Sachant que java EE a déjà un controle d'accès implémenté si tu utilise tomcat, wildfly ou assimilés. Pas besoin de se coltiner une sécurité à la main si t'as juste des besoins standards.

https://docs.oracle.com/javaee/6/tut...doc/bnbwj.html