[Servlets - JSP] Problème de session

Version imprimable

Je développe un Intranet avec des pages jsp utilisant des beans, et des servlets…
Pour améliorer la sécurité, une authentification est requise au lancement de l’Intranet. Ceci entraine la création d’une variable de session.
Code:

1 2 3 4 HttpSession session = req.getSession() ; Session.setAttribute(« user », new User(id, login, role)) ;
Si quelqu’un essaye d’accéder directement à une page jsp de l’Intranet, sans être passé par l’authentification, il doit être redirigé vers une page « Accès interdit !! »

Pour cela, j’effectue un test dans chaque page jsp :
Code:

1 2 3 4 5 6 7 8 if ( (User) request.getSession(false).getAttribute("user") != null){ // j’affiche le contenu statique de ma pages jsp // j’exécute les méthodes du bean qui font afficher le contenu dynamique de ma page } else res.sendRedirect(« forbidden.jsp ») ; // sinon je renvoie la page d’interdiction
Le problème c’est qu’après une déconnexion ( fermeture de la session par session.invalidate() ), si je tape l’adresse d’une jsp dans le navigateur, il y accède quand même…
Par contre si je fais actualiser la page, il me met la page d’Interdiction…

04/08/2003, 10h35
RanDomX

c le cache du navigateur.

Si tu veux etre sur que l'objet soit inccessible set la à null;
04/08/2003, 10h40
the java lover

Ca fait pareil si je fais session = null ...

pour eviter ça, il faut que la page ne soit pas chargé du cache, ecrit donc en plus dans ta page le code suivant :
Code:

1 2 3 4 response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 response.setHeader("Pragma","no-cache"); //HTTP 1.0 response.setDateHeader ("Expires", 0); //prevents caching at the proxy server
ça devrait suffire...
bon courage !

Voici le code de ma JSP

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<HTML>
 
   <HEAD>
 
      <TITLE> Gestion des Mots de Passe </TITLE>
 
   </HEAD>
 
      <BODY bgcolor="#FFFFC0">
         <a href="../../Intranet.html" TARGET="_parent"><img src="../../images/return.gif" border="0"></a>
 
         <H2 align="center"> Annuaire </H2>
 
         <hr width="30%">
 
      <jsp:useBean id="annu" class="Annuaire" scope="application" />
 
      <%
          response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 
          response.setHeader("Pragma","no-cache"); //HTTP 1.0 
          response.setDateHeader ("Expires", 0); //prevents caching at the proxy server
          
          if((caf.User)request.getSession(false).getAttribute("user")!=null){
              
              String etat = ((request.getParameter("action")==null)?"affich":request.getParameter("action"));
              
              String res = (String)Class.forName("caf.Annuaire").getMethod("Tr_"+etat, new Class[]{HttpServletRequest.class, HttpServletResponse.class}).invoke(annu, new Object[]{request, response});
        
              out.println(res);
          
           }else
        response.sendRedirect("Forbidden.jsp");
      %>
 
   </BODY>
<HTML>

Mais ça fait pareil, ça ne marche que si je fais actualiser la page ...
A moins qu'il ne faille mettre les 3 lignes

Code:

1
2
3
4
5
 
 
response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 
response.setHeader("Pragma","no-cache"); //HTTP 1.0 
response.setDateHeader ("Expires", 0); //prevents caching at the proxy server

dans le bean ???

04/08/2003, 11h02
RanDomX

Et si tu essayais de rajouter plutot un test sur la session pour savoir si elle est "valide".

Me rappelle plus torp mais un truc du genre

session.isInvalidated() retoutant un boolean ca doit exister, ou l'equivalent.

je ne pense pas qu'il faille le mettre dans le bean mais bon...
personnelement, j'ai mis ce code avec le code de verif de la session dans une fonction javascript onload()... comme ci dessous
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 function verif_session(){ <% response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 response.setHeader("Pragma","no-cache"); //HTTP 1.0 response.setDateHeader ("Expires", 0); //prevents caching at the proxy server HttpSession sess =request.getSession(); if(sess.getAttribute("connect")==null){ %> location.replace("Erreur.jsp"); <%}%> } </script> </head> <body onload="verif_session();">
si après, ça ne marche toujours pas, verifie bien que ta session est invalidée, on sait jamais..

04/08/2003, 11h21
the java lover

Non, c'est bon ça marche en fait !!!

Merci
28/11/2011, 09h54
kaissuni

erreur

bonjour,

j'utilise Eclipse Indigo comme IDE, l'application marche parfaitement :ccool: sauf que au niveau de la session exactement dans les méthodes de response.setHeader() et response.setDataHeader() il y a un erreur s'affiche comme suit :

The method setHeader(String, String) from the type HttpServletResponse refers to the missing type String

De même pour setDataHeader(), :calim2:

Quelqu'un peut me siter le problème la dessus ? :cry:
Merci d'avance