[JSF] sécuriser une application

Version imprimable

30/09/2009, 10h10
ronchman07

[JSF] sécuriser une application

Bonjour,

Je crée une application JSF sur laquelle on doit se connecter par login - mot de passe. La page d'accueil de cette application demande donc ces paramètres.

Cependant, si l'utilisateur rentre directement l'url d'une autre page de l'application sans passer par l'authentification, il peut voir cette page sans problème.

Je ne sais pas si c'est vraiment un problème JSF, mais j'aimerais que ce ne soit pas possible d'attaquer des pages de mon application directement à partir des urls (peut-être en redirigeant l'utilisateur vers la page d'authentification s'il n'est pas connecté...).

Je ne sais pas comment faire ça, merci beaucoup de votre aide!
30/09/2009, 10h31
Sniper37

Si tu n'utilise pas Facelets, tu peux juste mettre les jsp dans le web-inf, elles ne seront pas accessibles directement, sinon, il existe trois façons de sécuriser l'application web:

1- sécurité basé sur le serveur d'application, avec tomcat, il faut définir les security constraints.

2- Utiliser la sécurité J2EE: JAAS

3- Utiliser un framework qui gère la sécurité: spring security ou autres
30/09/2009, 10h33
tchize_

Le plus simple est d'utiliser l'authentficiation du conteneur, via les sections security-constraint .

tu trouvera un exemple ici

http://beuss.developpez.com/tutoriel...on/formulaire/

Ok, merci pour ces réponses rapides!

Je voudrais, dans un premier temps, juste cacher mes jsp dans le WEB-INF, mais pour cela il faut que je change les chemin dans le web.xml et le faces-config.

J'ai un peu du mal avec ça, j'ai essayé plusieurs chemins mais sans succès.
J'ai mis mes jsp dans le répertoire: WEB-INF/jspPages.

Voilà ce que j'essaie de faire dans mon faces-config:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 <navigation-rule> <from-view-id>/VueConnexion.jsp</from-view-id> <navigation-case> <description>Authentification incorrecte</description> <from-outcome>erreur</from-outcome> <to-view-id>/VueConnexion.jsp</to-view-id> </navigation-case> <navigation-case> <description>Authentification correcte</description> <from-outcome>OK</from-outcome> <to-view-id>/ViewChoice.jsp</to-view-id> </navigation-case> </navigation-rule>
Et voilà une partie de mon web.xml:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 <servlet> <servlet-name>Faces Servlet</servlet-name> <servlet-class>javax.faces.webapp.FacesServlet</servlet-class> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>Faces Servlet</servlet-name> <url-pattern>*.jsf</url-pattern> </servlet-mapping> <servlet-mapping> <servlet-name>Faces Servlet</servlet-name> <url-pattern>/faces/*</url-pattern> </servlet-mapping>
Je ne vois pas trop quoi changer pour ne pas avoir des erreurs 404. Est-ce-qu'il faut changer un servlet-mapping dans le web.xml?

Merci pour vos réponses!

30/09/2009, 11h53
Sniper37

mettre le bon url dans les navigation:

Code:

<to-view-id>WEB-INF/VueConnexion.jsp</to-view-id>
30/09/2009, 12h05
ronchman07
En fait, je pense plutôt que ce serait
Code:

1 2 <to-view-id>WEB-INF/jspPages/VueConnexion.jsp</to-view-id>
Mais même en mettant des "/", "./" ou "../", j'ai toujours des erreurs 404.

L'url que j'obtiens dans le navigateur est:
Code:

1 2 http://localhost:8080/dataEntry//WEB-INF/jspPages/VueConnexion.jsf;jsessionid=E655A5111D978D3080A638BBACC5B7E9
Je ne comprends pas quel chemin il faut lui donner.

Merci pour votre aide!
30/09/2009, 12h10
Sniper37

tu ne tape pas l'url directement dans le navigateur?
il faut avoir la première page de login accessible à tous, donc, pas dans le web-inf et ensuite suivre la navigation.
30/09/2009, 12h29
tchize_

les navigation rules n'empecherons pas les utilisateurs d'aller directement à la page sans authentification. De même que les placer dans WEB-INF/. Quand on place les jsp dans WEB-INF, c'est pour qu'ils ne soient pas accessible e, dehors du contexte JSF, ce qui n'est pas du tout le même problème. Pour gérer l'authentification, soit tu passe par els security-constraint comme je t'ai dit, soit il va te falloir écrire un Phase listener JSF qui check l'authentification, soit tu va devoir encapsule toutes tes pages dans un composant ayant une propriété rendered="...." vérifiant l'authentification.
30/09/2009, 13h39
ronchman07

Ah ok c'est bien ce que je pensais du fait de mettre les jsp dans le WEB-INF, mais comme j'étais pas sûr je voulais essayer.

Je repasse comme avant alors, et je teste une de vos méthodes.

Je mets résolu parce que c'est ce que je voulais savoir.

Merci beaucoup pour votre aide une fois de plus!