avis sur la gestion d'une authentification

Version imprimable

Bonsoir

Je crée une application web dont plusieurs acteurs agissent dessus.
C'est pour cette raison que ceci nécessite la création d'une authentification.
pour chaque intervenant au système.

J'ai mis en place une BDD contenant une table Personne contenant le NOM + MDP + Statut de la personne

J'aurais aimé avoir vos point de vue sur cet authentification.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Form d'authentification <form action="Verif.jsp?login="<%request.getParameter("login");%>&mdp=<%request.getParameter("mdp");%>" method="post" >  <FIELDSET class="f1"> <legend> Identification </legend> <label id="login">Login :</label> <input type="Text" name="login" id="login" /> <label id="mdp"> Mot de Passe :</label> <input type="password" name="mdp" id="mdp" /> <br> <input type="reset" value="annuler" id="annuler" class="annuler" /> <input type="submit" name="todo" value="envoyer" id="envoyer" class="envoyer" /> </FIELDSET> </form>
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 Verif.jsp <%@ page import = "java.io.*" import = "java.lang.*" import = "java.sql.*" import = "convergences.*" import = "common.*" import = "javax.servlet.*" import = " javax.servlet.http.*" %> <jsp:useBean id="conv" scope="session" class="convergences.SQLUtils" /> <% String login = ""; String mdp= ""; String strsql =""; try { if(request.getParameter("todo")!=null) { if("envoyer".equals(request.getParameter("todo"))) { if(request.getParameter("login")!= null) login = request.getParameter("login"); if(request.getParameter("mdp")!= null) mdp = request.getParameter("mdp"); strsql = "select * from Personne where MdpPers='"+mdp+"' and NomPers='"+login+"'"; ResultSet rs = conv.execute(strsql,"BDD"); rs.next(); if((mdp == rs.getString("MdpPers"))&&(login == rs.getString("NomPers"))) { out.println("il s'agit d'un user de la base"); }else{ out.println("il ne s'agit pas d'un user de la base"); } }//fin envoyer }//fin todo }catch(Exception e) { e.getMessage(); } %>
J'ai constaté que j'ai une erreur.
En effet la condition de test me lit le mauvais message c'est à dire lorsque j'insere les bons login et mdp j'ai le message "il ne s'agit pas d'un user de la base" qui s'affiche.
Dans le cas contraire aucun message ne s'affiche.

Pourriez vous me donner des pistes pour pouvoir corriger cet erreur .
et egalement votre point de vue pour gerer une authentification. Si vous avez des améliorations à faire je suis prenneur.

Merci
Stardeus

31/05/2007, 19h26
the-gtm

Code:

strsql = "select * from Personne where MdpPers='"+mdp+"' and NomPers='"+login+"'";

Injection SQL -> google

Si tu mets le mot de passe "nimp or 1=1", tu peux te logguer avec nimporte quel login. Au passage tu peux probablement aussi créer des tables, en enlever, etc.

Bonjour

Je ne parviens toujours pas à faire l'authentification.
Je ne vois pas pourquoi la requete ne fonctionne pas

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
  if(request.getParameter("todo")!= null) 
     {	
	   if("envoyer".equals(request.getParameter("todo")))
	     {
   			//on teste si le login saisi est correct 
			loginlu= request.getParameter("login");
			if (loginlu.length()==0)
			response.sendRedirect("authentifier.jsp?notvalid=1"); 
            //mettre les logins en minuscule 
		    loginlu=loginlu.toLowerCase();	
 
			// on teste si le mot de passe saisi est correct
			mdplu=request.getParameter("mdp");
			if (mdplu.length()==0)
				response.sendRedirect("authentifier.jsp?notvalid=2");
 
	    	strsql="select * from personne where NomPers ='" + loginlu + "' and MdpPers='"+ mdplu +"'" ;
			out.println(strsql); 
			rs=conv.execute(strsql,"BDD");
			rs.close();
 
           if((loginlu == rs.getString("NomPers"))&&(mdplu == rs.getString("MdpPers")))
		    {
			     out.println("test");
			    response.sendRedirect("Menu.jsp");
				//HttpSession session = request.getSession(true);
				//session.setAttribute("identifiedUser",user);
			}else {
			          out.println("test33");
			   		  response.sendRedirect("authentifier.jsp");
				   } 
	      }//fin envoyer 		  	
       }//fin todo

Pourriez vous me dire ce qui ne va pas ?
merci

Stardeus

01/06/2007, 15h44
fnobb

Un classique :
pour compararer des chaine de caratere il ne faut pas utiliser == mais equals()

Effectivement c'etait bien le equals.
Le equals te permet de comparer 2 objets differents et savoir si si ces objets pointent sur la même référence ou est ce qu'on compare le contenu de 2 objets ( c'est a dire 2 objet differents qui pointent sur 2 reference differentes mais contenant le meme contenu =>on utilisera egalement un equals)

J'aurais une autre question lorsque je fais mon test.
dans le cas ou je renseigne es bonnes valeurs alors la redirection se fait correctement
dans le cas contraire on m'affiche rien.

voici ce que j'ai fait:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 strsql="select NomPers, MdpPers from personne where NomPers ='" + loginlu.replaceAll("'","''") + "' and MdpPers='"+ mdplu.replaceAll("'","''") +"'" ; //out.println(strsql); rs=conv.execute(strsql,"BDD"); rs.next(); String nomPers = rs.getString("NomPers"); out.println(nomPers); String mdpPers = rs.getString("MdpPers"); out.println(mdpPers); if((loginlu.equals(nomPers))&&(mdplu.equals(mdpPers))) { out.println("vous etes connecter au nom" + nomPers ); response.sendRedirect("Menu.jsp"); //HttpSession session = request.getSession(true); //session.setAttribute("identifiedUser",user); }else{ response.sendRedirect("authentifier.jsp"); }

01/06/2007, 16h35
fnobb

C'est peut-être qu'il ne trouve pas la jsp ? problème de case ?
01/06/2007, 16h47
stardeus

Apparement quelque soit la page qui est redigéré , ceci affiche un page blanche que lorsque les données renseignée ne correspondent pas à la BDD.

J'ai réalisé quelque tests dont une consistait à faire des condition les unes à la suites des autres ou encore spécifier la condition pour lequel le cas doit se redigerer vers la page d'authenfication

Mais ceci ne fonctionne pas et me renvoie dans n'importe quel cas vers une page vierge.

Auriez vous une idée?

Stardeus

Bonjour

Je ne parviens pas à mener à bien l'authentification.
voici ce que j'ai fait :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 if(request.getParameter("todo")!= null) { if("envoyer".equals(request.getParameter("todo"))) { //on teste si le login saisi est correct loginlu= request.getParameter("login"); if (loginlu.length()==0){ response.sendRedirect("authentifier.jsp?notvalid=1");} //mettre les logins en minuscule loginlu=loginlu.toLowerCase(); // on teste si le mot de passe saisi est correct mdplu=request.getParameter("mdp"); if (mdplu.length()==0){ response.sendRedirect("authentifier.jsp?notvalid=2");} strsql="select NomPers, MdpPers from personne where NomPers ='" + loginlu.replaceAll("'","''") + "' and MdpPers='"+ mdplu.replaceAll("'","''") +"'" ; rs=conv.execute(strsql,"BDD"); rs.next(); String nomPers = rs.getString("NomPers"); String mdpPers = rs.getString("MdpPers"); while((loginlu.equals(nomPers))&&(mdplu.equals(mdpPers))) { response.sendRedirect("Menu.jsp?id="+nomPers); break; } if((nomPers != loginlu)&&(mdpPers != mdplu)) { response.sendRedirect("authentifier.jsp"); } rs.close(); }//fin envoyer }//fin todo
Je n'arrive pas à comprendre pourquoi lorsqu'on saisit des informations fausses la page me redirige vers une page blanche.

( je suppose qu'il y a des erreurs mais dont je ne sais pas comment afficher les erreur de la page Savez vous comment on le fait??
Je pensais qu'avec une exception du type.
Try{ } catch(Exception e ) { e.getMessage(); } , on pourrait connaitre le contenu des erreurs. Seul une page blanche apparait.
)

en revanche lorsqu'on insere les valeurs correspondant à la page. On redirige vers la bonne page.

Stardeus