gérer les sessions

Version imprimable

31/07/2008, 13h05
rimy2mi

gérer les sessions

bonjour tout le monde,
je veux savoir comment on fait pour vérifier la session avant de manipuler qui que se soit, pour empêcher à un intrus d'accéder à la page via l'url.
je veux aussi savoir comment détruire la session pour déconnecter l'utilisateur, faut il passer par un bean ou on peut faire ça avec jsf?
et merci d'avance
31/07/2008, 13h41
seddik_saber

premiere question utilise un filtre qui teste si la session est deja cree sionon redirection vers page de login.
pour la deuxieme tu peux extraire du facecontext la session courante puis tu fais un invalidate
31/07/2008, 13h53
rimy2mi

Est ce que vous voulez dire par filtre les filtre jsp?
31/07/2008, 14h01
seddik_saber

filtre jsp ??
les classes filter heritant de javax.servlet.Filter (partit de la sepecification des servlet)
31/07/2008, 14h12
rimy2mi

Ah oui,
donc si je comprend on doit gérer les sessions "manuellement" on ne peut pas compter sur JSF pour le faire?
31/07/2008, 14h31
Philcmoi

:salut: si je ne dis pas des bétises ici
05/08/2008, 12h06
rimy2mi

j'ai lu le FAQ mais j'ai pas trouvé comment vérifier est ce que la session est la bonne,
le truc que je veux, c'est vérifier la session au début de chaque page: si oui on continue sinon on est redirigé vers l'accueil pour s'authentifier, ma question: est ce qu'on peut le faire avec jsf pour chaque page (sans utiliser un bean)?

J'ai fait quelque chose qui ressemble à ce que tu veux faire.

J'ai une page login.jsp avec un formulaire demandant login et mot de passe.
J'ai un bean (session) associé qui appelle une classe d'authentification pour verifier les login/mdp de l'utilisateur et qui renvoi une String pour rediriger l'utilisateur vers la page suivante en cas de succès ou rester sur login en cas d'échec (à configurer dans le faces-config avec des règles de navigation) et qui met à jour un booléen de mon bean associé à la page login.jsp.
Puis dans toutes mes pages jsp sauf login, j'inclue une page jsp qui, grace à la lib JSTL, fait:
Code:

1 2 3 4 5 6 7 8 <%@ page language="java" contentType="text/html; charset=ISO-8859-1"%> <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="std"%> <std:if test="${!auth.login}"> <std:redirect url="./login.jsf" /> </std:if>
auth etant le nom de mon bean associé à la page login.jsp et login mon booléen.

Cela fonctionne très bien.
J'ai cru comprendre que c'était cà que tu appelais "controler la session".

Et pour gérer la deconnexion :

un commandLink qui appelle cette méthode
Code:

1 2 3 4 5 public String deconnexion(){ ((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate(); return "deconnecte"; }

06/08/2008, 12h40
djo.mos

Bonjour,
:arrow: http://blog.developpez.com/djo-mos?t...ees_dans_jsf_r

Citation:
Envoyé par Breezy
J'ai fait quelque chose qui ressemble à ce que tu veux faire.

J'ai une page login.jsp avec un formulaire demandant login et mot de passe.
J'ai un bean (session) associé qui appelle une classe d'authentification pour verifier les login/mdp de l'utilisateur et qui renvoi une String pour rediriger l'utilisateur vers la page suivante en cas de succès ou rester sur login en cas d'échec (à configurer dans le faces-config avec des règles de navigation) et qui met à jour un booléen de mon bean associé à la page login.jsp.
Puis dans toutes mes pages jsp sauf login, j'inclue une page jsp qui, grace à la lib JSTL, fait:
Code:

1 2 3 4 5 6 7 8 <%@ page language="java" contentType="text/html; charset=ISO-8859-1"%> <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="std"%> <std:if test="${!auth.login}"> <std:redirect url="./login.jsf" /> </std:if>
auth etant le nom de mon bean associé à la page login.jsp et login mon booléen.

Cela fonctionne très bien.
J'ai cru comprendre que c'était cà que tu appelais "controler la session".

Et pour gérer la deconnexion :

un commandLink qui appelle cette méthode
Code:

1 2 3 4 5 public String deconnexion(){ ((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate(); return "deconnecte"; }
Serait il possible de nous montrer ton JavaBean auth?merci

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
 
package com.xxxx.presentation.bean.authentification;
 
import java.util.List;
 
import javax.faces.application.FacesMessage;
import javax.faces.context.FacesContext;
import javax.servlet.http.HttpSession;
 
import com.xxxx.Collaborateur;
import com.xxxx.authentification.Bind;
import com.xxxx.dao.CollaborateurHome;
 
public class User {
 
	private String trigramme;
	private String password;
	private boolean login = false;
 
	public User() {}
 
	public String getTrigramme() {
		return trigramme;
	}
 
	public void setTrigramme(String trigramme) {
		this.trigramme = trigramme;
	}
 
	public String getPassword() {
		return password;
	}
 
	public void setPassword(String password) {
		this.password = password;
	}
 
	public boolean getLogin() {
		return login;
	}
 
	public void setLogin(boolean login) {
		this.login = login;
	}
 
	public String login(){
		String result = "echoue";
		CollaborateurHome ch = new CollaborateurHome();
		FacesContext context = FacesContext.getCurrentInstance();
		List<Collaborateur> colList = ch.findByProperty("nom", getTrigramme(), "Collaborateur");
		if (getTrigramme()==""){
			String messNomVide = "Le nom utilisateur ne peut être vide";
			FacesMessage messageNomVide = new FacesMessage(FacesMessage.SEVERITY_ERROR,messNomVide,messNomVide);
			context.addMessage("login:validateLogin", messageNomVide);
		}else if (getPassword()==""){
			String messPasswdVide = "Le mot de passe ne peut être vide";
			FacesMessage messagePasswdVide = new FacesMessage(FacesMessage.SEVERITY_ERROR,messPasswdVide,messPasswdVide);
			context.addMessage("login:validateLogin", messagePasswdVide);			
		}else if (colList.isEmpty()){
			String messNonAuthorise = "Vous n'êtes pas autorisé à vous connecter";
			FacesMessage messageNonAuthorise = new FacesMessage(FacesMessage.SEVERITY_ERROR,messNonAuthorise,messNonAuthorise);
			context.addMessage("login:validateLogin", messageNonAuthorise);
		}else{
 
			int resultConnection = Bind.connexion(getTrigramme(), getPassword());
			if (resultConnection == 1){
				setLogin(true);
				result = "authentifie";
			}else if (resultConnection == 2){
				String messErreur = "Erreur dans voter nom d'utilisateur ou votre mot de passe";
				FacesMessage messageErreur = new FacesMessage(FacesMessage.SEVERITY_ERROR,messErreur,messErreur);
				context.addMessage("login:validateLogin", messageErreur);			
				setLogin(false);
				result = "echoue";
			}else if (resultConnection == 3){
				setLogin(true);
				result = "authentifie";
			}
//			log.debug("User - login : valeur de result = "+result);
		}
		return result;
	}
 
	public String deconnexion(){
		((HttpSession)FacesContext.getCurrentInstance().getExternalContext().getSession(true)).invalidate();
		return "deconnecte";
	}
 
}

Le Bind.connexion est une methode static de la class Bind qui interroge notre activeDirectory (ou LDAP) pour verifier le passwd de l'utilisateur.

30/01/2009, 01h53
Mr-Mobou

Merci Amigo pour les réponces