Rôles dans Spring security

Version imprimable

10/09/2009, 15h08
projetM

Rôles dans Spring security

Bonjour,
Je suis entrain de sécuriser mon application web en utilisant spring security et JDBC.

J'ai pu, enfin, mettre en place l'authentification. mais, il me reste maintenant l'autorisation ( permissions aux utilisateurs d'accéder aux pages de l'application en vérifiant leurs rôles)

je définie les accès en utilisant cette balise :

Code:

<intercept-url pattern="/**" access="ROLE_USER" />

Je veux que mes rôles soient ceux récupérés de ma base de données et qui peuvent avoir des noms différents des rôles définies par spring (pas de prefixe ROLE_ par exemple)?

Comment et où les définir?

Merci d'avance.
11/09/2009, 04h09
djo.mos
Salut,
Tu commences par créer ton propre authentication manager avec :
Code:

1 2 <sec:authentication-provider user-service-ref="myUsersDetailsService" />
dans l'xml et du côté java :

Code:

public class MyUserDetailsService implements UserDetailsService

Et dans la méthode loadUserByUsername, tu charges l'utilsiateur de ta base et tu renseignes les granted authorities.

Remarque que tout ça est expliqué en détail dans la documetnation officielle de Spring Security :fleche: http://static.springsource.org/sprin...gsecurity.html

1 pièce(s) jointe(s)

Salut et merci de l'explication djo.mos et projetM pour le post et les réponses :p ça m'éclaire pas mal, je butais un peu sur ce même problème.

J'utilise spring security 2.0.4 pour le moment. J'aimerais savoir un p'tit truc : comment gérer l'erreur de login? C'est bien dans le "authentication-provider" non? J'ai trouvé des exemples la dessus, mais j'ai un peu de mal a saisir comment faire.

Je m'explique sur ce que j'aimerais atteindre : lorsque l'on configure le "login http" si je puis le nommer ainsi, en automatique comme suit :
Code:

1 2 3 4 <http auto-config='true'> <intercept-url pattern="/**" access="ROLE_USER" /> </http>
on a une gestion automatisée des utilisateurs via des vues (je parle surtout du login là) sur lesquelles on n'a pas la main, pour peu que l'on ait configuré correctement son accès en base (ce qui est mon cas, sinon rien ne fonctionne :p ).

Lors d'une erreur de login, on a l'écran suivant qui apparait :
Pièce jointe 53005

avec une url de type
Code:

1 2 spring_security_login?login_error
J'aimerais reproduire le même système dans ma propre gestion de logins, sans le formatage de l'URL, un peu comme si j'utilisais un "validator" comme dans le tuto de spring MVC.

J'ai déjà un systeme de vues fonctionnelles en ayant configuré mon applicationcontext comme suit (pour la partie qui nous interesse) :
Code:

1 2 3 4 5 6 7 <security:http > <security:intercept-url pattern="/login*" filters="none"/> <security:intercept-url pattern="/**" access="ROLE_USER"/> <security:form-login authentication-failure-url="/login" login-page="/login" default-target-url="/hello" always-use-default-target="true"/> <security:logout/> </security:http>
Je suppose du coup qu'il faut intervenir sur le "authentication-provider" et y gérer soi-même ses erreurs? Comment transmettre ces dernières à la vue? Dans le tutoriel de MVC, on a dans un formulaire la balise <form:errors /> suivante :
Code:

1 2 3 4 <td width="60%"> <form:errors path="percentage" cssClass="error"/> </td>
qui permet grâce à un validator d'afficher des erreurs (poucentage trop ou pas assez élevé par exemple).

Dois-je implémenter mon validator pour cette page de login? Ou bien est-ce géré par le système déjà existant, il n'y aurait qu'une balise a inclure à ma propre page de login personnalisée et je suis passé a côté? (ca ne fait que 4 jours que je suis dessus, excusez ma "novicitude" si je puis dire :P :) )

J'espère avoir été assez clair! si des précisions manquent, dites-le moé que je corrige :)

21/09/2009, 10h04
Yoann.chambonnet

Un petit UP pour ce petit problème qui me bloque? :)

PS : je dois peut-être refaire carément un nouveau post pour ma question non?
Merci :)