Ouverture d'une session

Version imprimable

01/06/2007, 09h19
jonnyboy

Ouverture d'une session

Bonjour à tous,

Effectuant mon premier stage en entreprise, je dois réaliser un intranet. Cela fait maintenant 2 mois que je travaille dessus. Cependant, j'ai plusieurs choses a reprendre. La plus importante concerne la session.

En effet, pour le moment, lorsque l'utilisateur s'identifie, son ID est passé de page web en page web dans l'url. Ainsi, il suffit de modifier cette valeur dans l'url pour accéder aux informations d'un autre utilisateur :( . Ce qui n'est pas super niveau sécurité !!

Possédant beaucoup de formulaire, j'ai pensé ajouter un champs caché a chacun de ceux ci afin d'y insérer l'Id de l'utilisateur. Mais je possède également des boutons redirigeant sur d'autre page, ce qui m'empêche de faire cela sur toutes mes pages.

Quelqu'un aurait-il une solution ?? Existe-t-il une fonction particulière ou un moyen afin de sécuriser tout ca ?? merci d'avance !

PS : j'utilise dans le cadre de ce stage des jsp et des servlets
01/06/2007, 09h28
adiGuba

Salut,

Pour éviter de mettre des sessionID dans l'URL, la seule solution est d'utiliser les Cookies de session. C'est normalement totalement transparent...

a++
01/06/2007, 09h28
cybercrisp

Citation:

j'ai pensé ajouter un champs caché a chacun de ceux ci afin d'y insérer l'Id de l'utilisateur

Déja on va oublier çà! tu auras plus de solutions sur des sites consacrés à la securité web.J'ai lu que les cookies de session n'etait pas non plus une bonne solution dans des livres de sécu.
01/06/2007, 09h36
jonnyboy

Ok merci de vos reponses, je vais essayer de me renseigner la dessus.
01/06/2007, 09h53
DevServlet

Pourkoi tu fous pas cet Id dans une variable de session , c plu simple non ?
01/06/2007, 09h54
DevServlet

rep

Pourkoi tu fous pas cet Id dans une variable de session , c plu simple non ?
01/06/2007, 09h58
jonnyboy

Je ne connais pas du tout les variables de session. Je vais regarder ca de plus près. Merci !
01/06/2007, 10h04
DevServlet

C'est comme ca kon resoud ce genre de pb, t'as des contextes en Servlet qui te permettent efficacement les sessions , jettes y un coup d'oeil .
01/06/2007, 10h10
jonnyboy

Ok merci :D
01/06/2007, 14h46
jonnyboy
Ca y est j'ai reussis !!

J'ouvre une session si le nom d'utilisateur et le mot de passe de l'utilisateur sont valides en mettant dedans l'utilisateur :
Code:

1 2 HttpSession session = request.getSession(true); session.setAttribute("identifiedUser", user);
Et sur les autres pages, j'ai juste a récupéré l'utilisateur en faisant :

Code:

UserDO identifiedUser = (UserDO) session.getAttribute("identifiedUser");

Merci à tous pour vos réponses :D . A++