[Spring MVC] Sécuriser mon application Web

Bonjour tout le monde,

je suis entrain de faire une application web en utilisant springMVC, hibernate et tomcat, et je voudrai faire un système d'authentification.
je n'ai jamais fais un truc comme ça mais tout ce que je sais c'est que on peut le faire en configurant le nœud <Realm/> et aussi en utilisant ACEGI.

Je vous cache pas, j'ai envie de faire les deux solutions.
si vous avez des exemples, des tutoriaux qui peuvent m'aider à configurer ACEGI , surtout n'hésitez pas.

pour Realm je m'en occupe.

Je vous remercie d'avance

Dans ton web.xml il faut configuré un listener pour acegi

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

<!-- Security --> <listener> <listener-class> org.acegisecurity.ui.session.HttpSessionEventPublisher </listener-class> </listener> <filter> <filter-name>Acegi-Security</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetBeanName</param-name> <param-value>filterChainProxy</param-value> </init-param> </filter> <filter-mapping> <filter-name>Acegi-Security</filter-name> <url-pattern>/*</url-pattern> <dispatcher>FORWARD</dispatcher> <dispatcher>REQUEST</dispatcher> </filter-mapping>

---

Puis créer un applicationContext_security.xml

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">   <beans> <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="userDetailsService"> <ref bean="userService" /> </property> <property name="saltSource"> <ref bean="reflectionSaltSource" /> </property> <property name="passwordEncoder"> <ref bean="md5PasswordEncoder" /> </property> <property name="hideUserNotFoundExceptions"> <value>false</value> </property> </bean>   <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="providers"> <list> <ref bean="rememberMeAuthenticationProvider"/> <ref bean="daoAuthenticationProvider"/> </list> </property> </bean>   <bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="rolePrefix"> <value>ROLE_</value> </property> </bean>   <bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="decisionVoters"> <list> <ref bean="roleVoter" /> </list> </property> <property name="allowIfAllAbstainDecisions"> <value>false</value> </property> </bean>   <bean id="filterSecurityInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="authenticationManager"> <ref bean="authenticationManager" /> </property> <property name="accessDecisionManager"> <ref bean="accessDecisionManager" /> </property> <property name="objectDefinitionSource"> <value> CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /login.jsf=ROLE_ANONYMOUS /*.jsf=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN /pages/core/**=ROLE_ADMIN,ROLE_SUPERADMIN </value> </property> <property name="validateConfigAttributes"> <value type="boolean">true</value> </property> </bean>   <bean id="formLoginAuthenticationProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="realmName"> <value>Ebonus authentification</value> </property> </bean>   <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="authenticationEntryPoint"> <ref bean="formLoginAuthenticationEntryPoint" /> </property> </bean>   <bean id="httpSessionContextIntegrationFilter" class="org.acegisecurity.context.HttpSessionContextIntegrationFilter" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> </bean>   <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="filterInvocationDefinitionSource"> <value> CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /**=httpSessionContextIntegrationFilter,formAuthenticationProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterSecurityInterceptor </value> </property> </bean>   <!-- Filter to integrate user roles with HttpServletRequest --> <bean id="securityContextHolderAwareRequestFilter" class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />   <bean id="loggerListener" class="org.acegisecurity.event.authentication.LoggerListener" />   <!-- <bean id="basicProcessingFilter"--> <!-- class="org.acegisecurity.ui.basicauth.BasicProcessingFilter"--> <!-- abstract="false" singleton="true" lazy-init="default"--> <!-- autowire="default" dependency-check="default">--> <!-- <property name="authenticationManager">--> <!-- <ref bean="authenticationManager" />--> <!-- </property>--> <!-- <property name="authenticationEntryPoint">--> <!-- <ref bean="authenticationEntryPoint" />--> <!-- </property>--> <!-- </bean>-->   <bean id="plainTextPasswordEncoder" class="org.acegisecurity.providers.encoding.PlaintextPasswordEncoder" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> </bean>   <!-- bean used for the form login authentification -->   <bean id="formAuthenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="authenticationManager"> <ref bean="authenticationManager" /> </property> <property name="authenticationFailureUrl"> <value>/login.jsf?login_error=1</value> </property> <property name="defaultTargetUrl"> <value>/</value> </property> <property name="filterProcessesUrl"> <value>/j_acegi_security_check.jsp</value> </property> <property name="rememberMeServices"> <ref bean="rememberMeServices"/> </property> </bean>   <bean id="formLoginAuthenticationEntryPoint" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="loginFormUrl"> <value>/login.jsf</value> </property> <property name="forceHttps"> <value>false</value> </property> </bean>   <bean id="rememberMeServices" class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices"> <property name="userDetailsService"> <ref bean="userService" /> </property> <property name="key"> <value>eBonus</value> </property> <property name="tokenValiditySeconds"> <value>1209600</value> </property> <property name="parameter"> <value>_acegi_security_remember_me</value> </property> </bean>   <bean id="rememberMeAuthenticationProvider" class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider"> <property name="key"> <value>eBonus</value> </property> </bean>   <bean id="rememberMeProcessingFilter" class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter"> <property name="rememberMeServices"> <ref local="rememberMeServices" /> </property> <property name="authenticationManager"> <ref local="authenticationManager" /> </property> </bean>   <bean id="anonymousProcessingFilter" class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter"> <property name="key"> <value>anonymous</value> </property> <property name="userAttribute"> <value>anonymous,ROLE_ANONYMOUS</value> </property> </bean>   <bean id="anonymousAuthenticationProvider" class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider"> <property name="key"> <value>anonymous</value> </property> </bean> </beans>

---

et dans ton applicationContext ajouté un bean pour l encodage

Code:

---

1 2 3 4 5 6

<bean id="md5PasswordEncoder" class="org.acegisecurity.providers.encoding.Md5PasswordEncoder" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> </bean>

---

Puis ajouter

Code:

---

1 2 3 4 5 6

<bean id="reflectionSaltSource" class="org.acegisecurity.providers.dao.salt.ReflectionSaltSource" abstract="false" singleton="true" lazy-init="default" autowire="default" dependency-check="default"> <property name="userPropertyToUse"> <value>getUsername</value> </property> </bean>

---

je te remercie pour ton aide, j'essayerai ça dès que je rentre chez moi et je te tiens au courant.

Merci encore

Bonjour,

Tout d'abord je te remercie pour ce que tu m'as donnée.
Je ne sais pas si j'ai raté quelques choses mais en tout cas j'ai deux problemes :
* si je tappe l'adresse d'une page quelconque j'y accede sans aucun contrôle.
* si je tappe

Code:

---

localhost:8080/login.html (ou localhost:8080/)

---

et je mets login/mdp(les deux sont correctes) ça m'affiche

Code:

---

localhost:8080/;jsessionid=7B4B33C451D5A5F28BD123645DAF3661

---

des idées 8O ?

vérifie le path pour tes pages qui doivent être sécurisé

/pages/core/**=ROLE_ADMIN,ROLE_SUPERADMIN

ainsi que le mapping des pages

/*.jsf=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN

a premiere vue il faut que tu modifies en html (vu ton example) ou alors en jsp ou jsf

et lorsque tu charges ton fichier applicationContext charge TOUS les fichiers de config applicationContext*.xml (web.xml)

Code:

---

1 2 3 4 5

<context-param> <param-name>contextConfigLocation</param-name> <param-value>/WEB-INF/applicationContext*.xml</param-value> </context-param>

---

il faut pas oublier également que ta page de login doit comprendre
un champ username qui porte le nom j_username
un champ password qui porte le nom de j_password

la doc http://www.acegisecurity.org/docbook/acegi.html#form

Bonsoir alexandre,
La bonne nouvelle c'est que si je mets un login et un mdp correcte je me logue (http://localhost:8080/home.html).
et la mauvaise nouvelle c'est que :
* j'accede toujours aux autres pages sans contrôle.
et portant dans mon applicationContext-acegy.xml j' ai:

Code:

---

1 2 3 4 5

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /login.jsp=ROLE_ANONYMOUS /*.jsp=ROLE_VIEWER,ROLE_USER,ROLE_ADMIN,ROLE_SUPERADMIN /view/jsp/**=ROLE_ADMIN,ROLE_SUPERADMIN

---

* quand je fais localhost:8080/ dasn la barre d'adresse j'ai

Code:

---

http://localhost:8080/login.jsp;jsessionid=FDA5D91C4FD882DAB7C7BE7CF084A794

---

Je continue mes recherches et je te tiens au courant.

Et si tu as d'autres idée n'hésite pas ;)

Merci encore

tes autres pages possèdent bien une extention en .jsp sinon la règle
/*.jsp=R ne marchera pas

pour l id de la session à mon avis ca doit être lié à la conf de tomcat (a vue de nez)

Oui elle ont toutes une extention en .jsp.
mais si je veux afficher la page toto.jsp dans la barre d'adresse j'appelle toto.html ( dans mon application-servlet.xml j'ai un mapping de genre

Code:

---

<prop key="toto.html">monController</prop>

---

et tu as testé le cas en définissant en .jsp ?

:oops: Bonne question.
non j'avais pas tester mais maintenant oui et je n'ai pas accé aux pages il faut absolument que je passe par la page de login.
Je vais changer /*.jsp=R en /*.html=R
Mais maintenant pour chaque lien je doits me loguer :( :?

c'est le principe de la sécurisation des pages :

*devoir être authentifié pour accéder aux ressources

(pour un user anonyme tu peux "jouer" avec les roles)

je definis les users et les roles dasn un fichier de properties et dedans j'ai mis

Code:

---

1 2 3

superadmin=superadmin,ROLE_ADMIN,ROLE_SUPERADMIN ano=ano,ROLE_ANONYMOUS admin=admin,ROLE_ADMIN

---

je vais tester et je te tiens au courant.

:cry:
Quelque soits les droits de l'utilisateur, si je coche pas _acegi_security_remember_me je doits me connecter à chaque fois je clique sur un lien de mon application.

c'est le principe de cookie ce que tu peux faire c est de le placer en <input type="hidden" name="_acegi_security_remember_me" value="1">

Bonjour alexandre,

je vais essayer de comprendre ce comportement et aussi celui de la sessionId avec la page login.
En attendant si tu trouves quelque chose je serai là ;)

Merci vraiment pour ton aide

Bonjour,
Je suis de retour :)
J’ai recommencé ce que j'ai fais étape par étape sans succès pour la sessionId
J’ai gardé <input type="hidden" name="_acegi_security_remember_me" value="1"> et j'ai pensé à ajouter une classe qui permet de fermer ma session, cette classe sera déclenché si l'utilisateur clique sur un lien déconnection ou ferme le navigateur (pour la détection de la fermeture du navigateur va être en javascript)
Tu crois qu'il y a un meilleur moyen pour faire ça?

Merci d'avance