authentification via url - Edit: basic/Digest comment ça marche ?

Bonjour,

Après avoir jeté un œil sur la doc :
http://static.springsource.org/sprin...gsecurity.html

Je n'ai pas réellement trouvé de piste à mon problème que voici :
Je voudrais m'affranchir du formulaire ou du popup d'authentification en passant directement ces infos via l'URL, soyons fou !
Mais au niveau des fichiers de configuration xml de Spring je ne sais pas comment récupérer le login et le mot de passe de l'usager.
Exemple d'URL:

Code:

---

http://localhost:8080/monAppliweb/pageSuperSecrete/loginUser/pwUser

---

Je pense que l'URL doit -peut être- être mieux renseigné ou alors mon Controller (annoté) doit pouvoir récupérer ces infos....

Si quelqu'un a une idée
Merci

ce n'est pas de la sécurité via l'url, tu n'a pas besoin de spring security, un simple bean ou servlet fera l'affaire..

Oui c'est vrai un peu un non sens ce que je dis...:mrgreen:
Tu as raison la sécurité n'est plus trop en question si on passe ces infos directement dans l'URL.
Sauf peut être ci c'est crypté ...(je ne m'y connait pas )
Édit : Quoi que l'info serait toujours visible dans l'url donc ça ne va pas.

Je vois à peu près comment faire avec un bean ou un servlet, mais dans mon cas je voudrais utiliser spring-security pour apprendre comment ça marche.
Je vais essayer de reformuler ma question alors :
Doit on obligatoirement passer par ces pages de formulaire ou ces Pop-up, automatiquement généré par spring-security, pour s'identifier et accéder au contenu web (via spring-security)?


Je ne suis pas sûr d'être clair mais je ne vois pas comment le dire...:(

merci

tu dispose de deux moyens, la fenêtre pop up du navigateur. ou une page de login que tu peux personnaliser, tu n'est pas obligé d'utiliser celle fournit par défaut.

Ok !

Je pense que je cherche trop compliqué mais je me dis aussi que via un cookie et/ou le 'context session' on est pas obliger de se retaper ces formulaire ou pop-up à chaque fois.
Cela fera l'affaire pour l'instant.

Sniper37, merci pour ton aide

oui avec spring security tu as l'option remember me, pour sauvegarder le login/mot de passe, par contre, la première fois il faut bien s'authentifier.

Finalement j'ai trouvé sur la doc un chapitre sur Basic et Digest :
http://static.springsource.org/sprin...nce/basic.html

Cela répond plus ou moins à mes attendes mais il faut que je prenne le temps d'étudier cela, car je ne comprends pas grands chose.:aie:

Après avoir testé plusieurs configuration en mode "on verra bien ce que cela donne":), je reste bloqué.
En effet dans mon application je souhaite séparer la sécurisation des webservice (basic) et le reste de mes pages (http login).
M'étant inspiré de la documentation voici mon fichier applicationContext-securtiy.xml :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:flex="http://www.springframework.org/schema/flex" xmlns:security="http://www.springframework.org/schema/security" xmlns:p="http://www.springframework.org/schema/p" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/flex http://www.springframework.org/schema/flex/spring-flex-1.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">     <!-- Definition de la source de donnees sous MySQL --> <bean id="dataSourceUsers" class="org.springframework.jdbc.datasource.DriverManagerDataSource" > <property name="driverClassName"> <value>com.mysql.jdbc.Driver</value> </property> <property name="url"> <value>jdbc:mysql://${jdbc.url}/Users</value> </property> <property name="username"> <value>${jdbc.user}</value> </property> <property name="password"> <value>${jdbc.pass}</value> </property> </bean>       <!-- authencation provider --> <security:authentication-manager alias="authenticationManager"> <security:authentication-provider> <security:jdbc-user-service data-source-ref="dataSourceUsers" users-by-username-query="SELECT userlogin as username, userpassword as password, userenable as enable FROM users WHERE userlogin =?" authorities-by-username-query=" select u.userlogin as username ,d.droitsnom as role FROM users u,roles r, droits d,matchUsersRoles mt WHERE u.iduser = mt.iduser and u.userlogin =? and mt.idrole = r.idrole and d.iddroit = r.iddroit"/> </security:authentication-provider> </security:authentication-manager>     <bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy"> <security:filter-chain-map path-type="ant"> <security:filter-chain pattern="/webServices/**" filters=" securityContextPersistenceFilterWithASCFalse, basicAuthenticationFilter, basicExceptionTranslationFilter, filterSecurityInterceptor" /> <security:filter-chain pattern="/**" filters=" securityContextPersistenceFilterWithASCTrue, formLoginFilter, filterSecurityInterceptor" /> </security:filter-chain-map> </bean>   <!-- web simple --> <bean id="securityContextPersistenceFilterWithASCTrue" class="org.springframework.security.web.context.SecurityContextPersistenceFilter"> <property name='securityContextRepository'> <bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'> <property name='allowSessionCreation' value='true' /> </bean> </property> </bean>   <bean id="formLoginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter"> <property name="authenticationManager" ref="authenticationManager"/> <property name="authenticationSuccessHandler" ref="authenticationSuccessHandler"/> <property name="authenticationFailureHandler" ref="authenticationFailureHandler"/> <property name="filterProcessesUrl" value="/j_spring_security_check"/> </bean>   <bean id="authenticationSuccessHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler"> <property name="defaultTargetUrl" value="/main_app.html"/> </bean>   <bean id="authenticationFailureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler"> <property name="defaultFailureUrl" value="/login.jsp?failure=true"/> </bean>     <!-- webservice -->   <bean id="securityContextPersistenceFilterWithASCFalse" class="org.springframework.security.web.context.SecurityContextPersistenceFilter"> <property name='securityContextRepository'> <bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'> <property name='allowSessionCreation' value='false' /> </bean> </property> </bean>   <bean id="basicAuthenticationFilter" class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter"> <property name="authenticationManager" ref="authenticationManager"/> <property name="authenticationEntryPoint" ref="basicAuthenticationEntryPoint"/> </bean>   <bean id="basicExceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter"> <property name="authenticationEntryPoint" ref="basicAuthenticationEntryPoint"/> <property name="accessDeniedHandler" ref="accessDeniedHandler"/> </bean>   <bean id="basicAuthenticationEntryPoint" class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint"> <property name="realmName" value="Name Of Your Realm"/> </bean>   <bean id="accessDeniedHandler" class="org.springframework.security.web.access.AccessDeniedHandlerImpl"> <property name="errorPage" value="/accessDenied.htm"/> </bean>     <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor"> <property name="authenticationManager" ref="authenticationManager"/> <property name="accessDecisionManager" ref="accessDecisionManager"/> <property name="securityMetadataSource"> <security:filter-security-metadata-source> <security:intercept-url pattern="/webServices/**" access="ROLE_ADMIN"/> <security:intercept-url pattern="/**" access="ROLE_USER"/> </security:filter-security-metadata-source> </property> </bean>   <bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"> <property name="allowIfAllAbstainDecisions" value="false"/> <property name="decisionVoters"> <list> <bean id="roleVoter" class= "org.springframework.security.access.vote.RoleVoter"/> </list> </property> </bean>

---

Lorsque je lance mon application via glassfish j'obtient :

org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext

Je ne comprend pas d'où cela peut venir ...:(
Si quelqu'un à une idée ou même un tuto super bien fait (faut pas rêver :aie:) je suis preneur.
Merci d'avance !