JSP-Comment éviter une authentification automatique via l'URL

Version imprimable

21/12/2009, 13h03
jolinon

JSP-Comment éviter une authentification automatique via l'URL

Bonjour à tous.

J'appelle au secours, car je suis très embarassé!
Tout d'abord je ne sais pas si je suis dans le bon forum. Peut-être aurait-il fallu poster ce message sur le forum Tomcat. mais bon j'ai choisi celui-ci.

J'utilise Tomcat 6.0.x
je programme une webapp avec Jsp
J'utilise comme IDE Eclipse 3.5 (je crois!)
J'utilise MySql et JDBC - Driver (Connector J de Mysql)

Voilà mon problème est simple (c'est peut-être ca qui le rend difficile!). J'ai une page login.jsp qui contient un formulaire et une page loginCheck.jsp qui vérifie l'authentification (si l'utilisateur se trouve bien dans la base de données). jusqu'ici tout se passe bien. Un utilisateur qui y figure sera bien authentifié (redirection vers la page admin.jsp) et celui qui n'y figure pas regetté (redirection vers la page reject.jsp).

Maintenant lorsque je tape l'url de la page admin.jsp dans le navigateur:
(http://localhost/MeinWebApp/admin.jsp), j'accède directement à cette page sans avoir eu besoin de m'authentifier. C'est comme si ma jsp adminCheck.jsp ne servait à rien.

Je serai très réjouis de quelque renseignements et de la technique à utilisée pour bloquer cela.

Merci d'avance à tous

Thierry
21/12/2009, 13h36
tchize_

Le plus simple est de laisser ton conteneur gérer l'authentification, via les security-constraints dans ton web.xml. Tu pourra ainsi limiter l'accès à certaines url ou pattern d'url aux utilisateur autorisés. Et c'est ton conteneur qui se chargera alors d'afficher la page ou les boites de dialogue de login.

Si tu fais le login toi même, c'est alors à toi de vérifier , dans chaque page JSP, que l'utilisateur est bien authentifié et a les droits nécessaires. Ca veux dire du code dans chaque JSP que tu veux sécuriser.
05/01/2010, 11h59
jolinon

Merci a toi tchize_,
@ Tous les autres membres du Forum

grâce à l'aide de tchize_, j'ai pu résoudre ce problème. Malheureusement j'en ai un autre.
Bien voila jusqu'ici j'ai déclaré ma Realm dans le fichier server.xml et les seurity-constraints dans le web.xml de l'application.

Maintenant j'ai une autre apllication ou je dois definir les contraintes de sécurité également. Qu'est-ce que je fais.

Ce que j'ai fait et ca ne marche pas. La première marche sans problème:

j'ai defini la deuxième Realm dans le fichier server.xml et les contraintes de sécurités dans le web.xml du 2ème Webapp. Mais cette deuxième authentification (2ème webapp) ne fonctionne pas.

J'appelle à toute aide

Merci d'avance pour toute suggestion