# Java > Dveloppement Web en Java > Servlets/JSP >  [JSP][Servlet][Securit] Configuration du login

## jaoued

bonjour a tous,

Voila, j'ai mis en place une authentifiacation par anuaire ldap sur une application existante.
pour cela j'ai configur le fichier web.xml en suivant le tuto suivant :

http://www-106.ibm.com/developerwork...tra/mitra.html

La page de login marche super bien.
seulement si je met directement l'url de la page sur laquelle on accede normalement apres le login, la page s'affiche sans que je soit log.

comment faire pour plus que ca puisse s'affich sans qu'on se soit log ? 
faut il faire une liste des pages qu'on veut proteg quelque part ?
ou mettre un script dans l'entete de chaque page et/ou servelet ?

je vous serais extremment reconnaissant si vous me repondiez car je suis bien embet.

----------


## dude

ca peut etre a cause de ta declaration dans le web.xml

est ce que tu peux poster
- l'url de ta page de login
- l'url de ta page apres login
- tes declarations <security-constraints>

----------


## jaoued

Biensur    ::):   ,

la page de login : 
http://localhost:9080/chrisn/
qui a pour effet d'ouvrir la page d'acceuil par defaut : index.html

index.html appelle tout de suite la sevlet : TestServlet
et la aparait automatiquement la page de login : login.jsp
et seulement apres avoir t corectement authentifi le code contenu dans TestServlet s'execute.

le code de TestServlet consiste simplement a afficher la page du menu de l'aplication : 



```

```

en tapant directement l'url : http://localhost:9080/chrisn/servlet...in=Utilisateur
la page est affich alors que ca ne devrait pas l'etre.


en ce qui concerne le fichier web.xml voila en gros comment il est constitu :


```

```

----------


## dude

OK

La fenetre de login n'est lancee par le serveur que lorsque tu accedes a l'URL definie dans ta security-constraint.

D'apres ton web.xml, la fenetre de login ne sera donc lancee par le serveur que lorsque tu accederas a l'URL http://localhost:9080/chrisn/TestServlet.

Si tu veux que toute ton appli soit protegee par un login, il faut que tu declares ton url-pattern de cette facon :


```
<url-pattern>/*</url-pattern>
```

Ainsi, quelque soit la page a laquelle tu accedes, tu devras t'authentifier

----------


## jaoued

je te remerci infiniment dude pour ton aide. ca marche parfaitement

il me reste une derniere question :
A quoi sert de definir le role de securit au niveau de la sevlet ?
comme dans : 


```

```

au quel cas dois je le rajouter au niveau de chaque servlet ?

----------


## dude

parce qu'une fois que l'utilisateur a ete identifiee par l'appli, tu peux restreindre l'acces en fonction du role de cet utilisateur.

Dans le bout de code que tu as mis, tu donnes a la servlet correspondante une reference vers un role applicatif. Ca n'est utile que si tu utilises la methode HttpServletRequest.isUserInRole("ValidUser") dans le code de ta servlet

----------


## jaoued

Encore une fois merci pour toutes ces precisions. Grace a toi j'y vois un peut plus claire dans tous ca.

----------

