Interdir l'accès direct aux pages jsp

Version imprimable

Bonjour tt le monde,
je travaille sur une application JEE sur netbeans avec visual JSF.
je suis face à un petit problème qui est la restriction d'accès directe à certaines pages jsp.
je gère les rôles travers des méthodes qui s'exécutent automatiquement lors d'appuis sur un bouton ou un lien hypertext et qui retournent une valeur au navigateur, et selon les droits de l'utilisateur connecté je redirige ou nn l'utilisateur en utilisant les navigation roles.
mais si jamais quelqu'un copie l'URL d'une page protégée le navigateur affiche cette page.
alors j'ai utilisé les contraintes de sécurités, et j'ai écrit le bout de code suivant dans le fichier web.xml
Code:

1 2 3 4 5 6 7 8 9 10 <security-constraint> <web-resource-collection> <web-resource-name>No-JSF-JSP-Access</web-resource-name> <url-pattern>/Web2/faces/DataSal.jsp</url-pattern> </web-resource-collection> <auth-constraint> <description>Pas de rôles, donc pas d’accès direct</description> </auth-constraint> </security-constraint>
j'ai protégé la page DataSal.jsp qui contient des données que seuls les utilisateurs privilégiés peuvent les consulter!
mais toujours je peux accéder directement à cette page.

Merci de votre help.

25/08/2010, 07h10
gronono

Salut,

Tu peux mettre tes jsp dans le dossier WEB-INF.

Si tu respectes bien le MVC, les pages jsp ne doivent jamais être appelées directement.
En principe tu devrais toujours passer par une Servlet.
25/08/2010, 13h25
DevServlet

Code:

Tu peux mettre tes jsp dans le dossier WEB-INF.

Ce repertoire n'est pas conçu pour. les jsp je les laisse moi à la racine de ma webapp. Dans ton cas je t'aurais bien suggéré un filtre qui redirigerait vers une page de login si l'utilisateur n'etait loggé et essayait d'acceder à un jsp.
26/08/2010, 00h26
gronono

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

Si tu veux les mettre à la racine, il faut que tu les protèges pour pas qu'elles soient accessibles directement.

La problématique ne se limite pas qu'au login.
Si tu accèdes directement à ta jsp, tu risques ne pas avoir toutes les infos nécessaire pour l'afficher (variables de session, de request, ...)
26/08/2010, 10h06
DevServlet

Code:

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.
26/08/2010, 11h13
libuma

Citation:

Envoyé par DevServlet

Code:

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.

Tout à fait d'accord.
26/08/2010, 11h48
lastrecrue

On peut faire les test du login au niveau de la page jsp même? non ??
26/08/2010, 12h04
DevServlet

Code:

On peut faire les test du login au niveau de la page jsp même? non ??

Faire un test de login ca voudrait dire faire un appel base, et initialiser une session etc..., oui on peut le faire, mais pour une bonne lisibilité du code et un respect du découplage couche vue et couche contrôleur NON, perso j'enrage quand je reprends du code avec ce type de codage :oops:, je revis là le codage à la php :oops:.
Mais bon on sort un peu du post de départ là, @S_ami as tu assez d'éléments de réponse à ta question? ou sinon tu peux répreciser ta question en tenant compte des réponses précedentes.
26/08/2010, 13h45
libuma

Citation:

Envoyé par lastrecrue

On peut faire les test du login au niveau de la page jsp même? non ??

Seulement les tests de formulaire bien rempli à l'aide de javascript pour une première vérification afin de ne pas avoir à recharger la page et faire X traitement(s) pour rien.

Sinon tu laisses la servlet controlleur gérer ça
26/08/2010, 13h57
DevServlet

Code:

Seulement les tests de formulaire bien rempli à l'aide de javascript pour une première vérification afin de ne pas avoir à recharger la page et faire X traitement(s) pour rien.

Tout à fait.:ccool:
26/08/2010, 14h35
lastrecrue

Citation:

Envoyé par DevServlet

Code:

On peut faire les test du login au niveau de la page jsp même? non ??

Faire un test de login ca voudrait dire faire un appel base, et initialiser une session etc..., oui on peut le faire, mais pour une bonne lisibilité du code et un respect du découplage couche vue et couche contrôleur NON, perso j'enrage quand je reprends du code avec ce type de codage :oops:, je revis là le codage à la php :oops:.
Mais bon on sort un peu du post de départ là, @S_ami as tu assez d'éléments de réponse à ta question? ou sinon tu peux répreciser ta question en tenant compte des réponses précedentes.

Je suis tout a fait d'accord, mais je me suis dis que c'est une façon de faire avec ces avantages et ces inconvénients.
26/08/2010, 15h33
S_ami

Merci de vos réponse!
je suis d'accord avec toi @DevServlet que le dossier WEB_INF n'est pas conçu pour cela.
en fait, après quelques recherches j'ai trouvé une solution qui est la suivante :
http://www.blognote-info.com/fr/n446...pplication-web
et ça marche très bien.
mais je voudrais aussi avoir des informations sur la méthode que tu m'a suggérée (les filtre).
Merci de votre help
26/08/2010, 17h29
DevServlet
Pour l'instant tu peux garder ta solution, l'inconvenient que je trouve c'est que ca reste quand même dependant du framework JSF, la solution que j'avais déjà utilisée était de faire un filtre qui redirige tout seul vers le login, en gros ca reviendrait à reprendre cette methode
Code:

1 2 3 if ((id.indexOf("secure") != -1) && !LoginManagerBean.isLogged()) { return _base.createView(fc, "/pages/login.jsp"); }
mais dans un doFilter de ta classe qui implémenterait l'interface Filter.voila un exemple de filter si tu veux en faire.mais te prends pas trop la tête si t'as mieux à faire.
Bonne suite.
28/08/2010, 06h57
S_ami

Merci de votre soutien.