Gérer l'authentification de manière propre avec JSF2 et Tomcat6 ?

Bonjour,

Je suis actuellement en train de développer une application en JSF 2.0 sur Tomcat 6 et malgré des heures de recherches et d'essais, je n'arrive pas à trouver un système propre pour gérer l'authentification de mes utilisateurs.

J'ai entre autres essayé de faire un Realm avec Tomcat mais finalement, je ne pense pas que cette technique soit adaptée à ma situation.

J'ai plusieurs utilisateurs ayant chacun un rôle. J'aimerais que les pages s'affichent différemment en fonction du rôle de l'utilisateur (menus, lien, boutons affichés ou non, etc.).
Mes rôles forment une hiérarchie. Exemple, dans l'ordre de "pouvoir", du minimum au maximum :
rôle1 --> rôle2 --> role3
rôle3 peut faire tout ce que fait rôle2, plus certaines autres choses. Pareil entre rôle2 et rôle1.

Je n'arrive pas à trouver une façon propre d'implémenter ça dans une applic JSF.

Ma dernière solution sera de gérer "à la main" l'authentification, de placer un bean en session pour l'utilisateur, et de checker à l'affichage de chaque page le rôle de l'utilisateur pour savoir si elle doit s'afficher, et comment.... mais je veux d'abord m'assurer qu'il n'existe pas de meilleur moyen, un peu plus sécurisé et propre, existant.

J'espère que j'ai été assez clair et que ma question n'est pas trop vue et revue.

Merci d'avance

tu peux le faire la sécurité de tomcat (container security managmenet) c'est le serveur qui gère l'authentification, pour l'accès au pages, tu peux faire des règles dans un bean en session, et utiliser les attribut rendered ou disable des tes composants JSF.

Tu peux aussi faire l'authentification toi même et tout gérer ou utiliser un framework de sécurité comme spring-security.

Finalement je pense que je vais quand même utiliser le Realm de Tomcat, comme ça il me gère la session. Et dans les pages, je devrais pouvoir récupérer le rôle de l'utilisateur connecté.

Si quelqu'un a une solution plus jolie dont je n'aurais pas entendu parler, je suis toujours preneur.

Merci de la réponse.

Bon, alors je galère toujours.
Quelqu'un sait s'il est possible de gérer la connexion avec le Realm du côté Managed Bean ?

Je veux dire sans utiliser le formulaire spécifique avec l'action j_security_check, mais un formulaire personnalisé, qui exécuterait une méthode d'une managed bean. Dans cette méthode, j'aimerais faire la connexion au Realm, puis rediriger sur la navigation-rule de mon choix. Une idée ?

ouii il faut utilisé les security-constrainnts et définir la méthode de login FORM.

tu trouvera dans le forum et les tutoriels des exemples.