login jsf + sécurité des pages

Version imprimable

04/08/2008, 14h01
Delphives

login jsf + sécurité des pages

Bonjour,

Voila mon problème :
j'aimerais faire une petite appli web avec le fonctionnalités suivantes :

- application avec technologie jsf
- lors du lancement de l'application, la page d'accueil doit etre welcome.jsp
- si l'utilisateur s'est authentifié, il est directement redirigé vers la page welcome.jsp qui affiche son nom, sinon il atterit sur la page login.jsp
- lors de la validation dans login.jsp, c'est la méthode d'une classe (appelée par le bouton) qui va récupérer le nom d'utilisateur + mot de passe et qui va le comparer à des valeurs dans un fichier contenant les combinaisons user+password. si l'authentification est correcte, redirection vers welcome.jsp avec un lien pour se déconnecter (logout.jsp).

mon soucis n'est pas l'algorithme de la classe qui va permettre l'authentification ou non, mais de savoir ce que la fonction doit retourner ou effectuer si le login ok ou non.

merci d'avance pour votre aide, car j'ai de la peine à trouver un exemple sur le web qui ressemble à ce que je recherche.

++
04/08/2008, 14h09
littlewing1112

Bonjour,
a mon avis tu devrais regarder du cote de JAAS et des pricipes d'identification et d'autorisation JAVA EE.
Jettes un coup d oeil sur la doc tomcat sur la mise en oeuvre d un realm
http://tomcat.apache.org/tomcat-6.0-...alm-howto.html
et sur la reference de SUN
http://java.sun.com/j2se/1.4.2/docs/...als/index.html

C est assez impressionnant au début, mais en fait c'est assez simple à configurer (web.xml et serveur)

bon courage
05/08/2008, 11h42
Delphives

Bonjour,

merci pour ces liens. A tout hasard, connaisseriez-vous une adresse où je puisse télécharger un petit exemple de ce que je cherche. Cela me parait étrange que personne n'aie parler de ça auparavant.

merci et bonne journée
05/08/2008, 12h15
rimy2mi

tu crée un managed bean "Auth" de scope session qui a comme attributs login et pass, et une methode "authentifier" qui verifie les login et pass et retourn un String qui prend deux valeurs: si login et pass sont valides elle retourne un string qui doit etre déclaré dans une navigation-rule dans faces-config.xml, et qui mène vers ta welcome.jsp. Sinon elle retourne un autre string qui doit etre déclaré dans une navigation-rule dans faces-config.xml, et qui mène vers ta login.jsp
c'est aussi simple que ça
29/05/2009, 17h56
zerocoolyoussef

oui mais si on tape le URL de la page sécurisé directement que ce qui se passera?
01/06/2009, 10h00
FunkyBreizh

Je crois que JSF permet de configurer les pages dont tu veux interdire l'accès en tapant l'adresse justement, ça se trouve dans le fichier web.xml. Je ne suis pas tout à fait sur, je ne l'ai jamais fait.
02/06/2009, 11h29
zerocoolyoussef

est ce qu'on met les utilisateurs et les rôles dans le serveur d'application ou il suffit de les mettre dans une base de données quelle est la solution la plus judicieuse??
05/06/2009, 21h04
diamss

Personnellement je te préconise JBoss Seam si tu as une BDD (EJB3). Tu auras un système de login simple et la possibilité de gérer les comportements lors de la tentative d'accès à une page avant et après login avec ou sans JBPM.

Voici un exemple :

http://www.nofluffjuststuff.com/blog...with_seam.html

Pour ma part, j'ai "expérimenté" plusieurs petits trucs pour sécurisé des pages.
Le premier consiste à bloquer l'accès aux pages sécurisé pour la méthode GET en ajoutant au fichier web.xml une règle de sécurité. Voici un exemple:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 <security-constraint> <web-resource-collection> <web-resource-name>Restrict access to JSP pages</web-resource-name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <description>With no roles defined, no access granted</description> </auth-constraint> </security-constraint>
Donc toutes les pages de mon répertoire /admin seront inaccessibles si tu tapes l'adresse directement.

Le deuxième, qui peut se combiner au premier, est de travailler avec un phase listener. Après la phase de restauration de la page (la première phase) on vérifie l'existence de la session, si elle n'existe pas on utilise un navigationHandler qui va, via une navigation rule, rediriger l'utilisateur vers la page voulue.

La troisième solution que je vois est d'utiliser un filtre dont l'url pattern est du genre "/admin/". Si la session n'existe pas, alors on redirige.