Discussion :

[Roger_Rabbit]

Bonjour,

mon problème semblait avoir plusieurs réponses dans ce forum (ou sur d'autres forums du site), mais aucune ne semble fonctionner chez moi. Donc je le soumets à votre avis :
certaines pages de mon site ne sont pas prévues pour être accédées directement : elles sont le résultat d'un processus (par exemple une page classique : (monsite)/connected/userProfile/results/updateSuccessfull.jsf).

Je dispose donc d'une série de patterns que je voudrais rajouter à mon web.xml pour interdire l'accès direct à toutes les pages le respectant (/connected/userProfile/results/* par exemple ici). Par contre, il faut que ces pages restent accessibles à l'issu du processus qui déclenche à leur affichage.

J'ai suivi (je crois!) les solutions décrites ici et ici, ce qui me semblait donner qqchose comme ça (extrait de mon web.xml):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 	<!-- forbidd direct access to results page (connected part) -->
 	<security-constraint>
		<web-resource-collection>
			<web-resource-name>NoDirectAccessToPages</web-resource-name>
			<description>
				Theses pages cannot be directly targeted 
			</description>
			<url-pattern>/connected/userProfile/results/*</url-pattern>
 		</web-resource-collection>
	  	<auth-constraint>
	   		<description>No direct access to this pattern</description>
	  	</auth-constraint>
	</security-constraint>
 
 	<!-- forbidd direct access to results page (disconnected part) -->
 	<security-constraint>
		<web-resource-collection>
			<web-resource-name>NoDirectAccessToDCPages</web-resource-name>
			<description>
				Theses pages cannot be directly targeted 
			</description>
			<url-pattern>/public/results/*</url-pattern>
 		</web-resource-collection>	  	<auth-constraint>
	   		<description>No direct access to this pattern</description>
	  	</auth-constraint>
	</security-constraint>

Mon problème est que si l'accès est effectivement bien restreint, il l'est malheureusement systématiquement, ie y compris dans le processus où ces pages doivent logiquement être affichées.

J'ai tenté de jouer avec les

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<http-method>GET/POST</http-method>

pour essayer d'y remédier, mais rien n'y fait.

Donc si qqn pouvait pointer du doigt l'erreur que j'ai forcément commise, ou me suggérer la bonne marche à suivre, il fera de moi un développeur heureux!

D'ici là, merci déjà de m'avoir lu, et par avance pour vos remarques ou suggestions!

[tchize_]

Le plus simple, je pense, serait d'avoir ton action qui met une valeur dans le request scope, et d'avoir ton JSF qui contient rendered="#{marqueurRequete.isAction}"

Au delà de ça, les autres méthodes dépendent de la manière dont tu feux autoriser l'accès à ce jsf. Comme le résultat d'un forward, le résultat d'une action, le résultat d'un redirect ??

[Roger_Rabbit]

Merci de tes réponses!

Le plus simple, je pense, serait d'avoir ton action qui met une valeur dans le request scope, et d'avoir ton JSF qui contient rendered="#{marqueurRequete.isAction}"

Quand tu dis "ton JSF", tu parles de la vue? Mais dans ce cas, ma vue ne sera juste pas rendue... non?
J'aurais qd même une préférence pour une solution de type config, entre autres parcequ'elle me permettrait d'avoir une jolie page "vous n'avez pas l'autorisation d'accéder directement à cette page" ou une redirection (selon la page). Une autre raison est qu'il y a beaucoup de pages à configurer!!
Enfin, beaucoup de ces pages interdites sont des compositions, incluant entre autres header et footer communs aux autres pages. Donc ça me paraît compliqué comme méthode...
(je sais, je suis exigent!)

Au delà de ça, les autres méthodes dépendent de la manière dont tu feux autoriser l'accès à ce jsf. Comme le résultat d'un forward, le résultat d'une action, le résultat d'un redirect ??

Les trois... c'est à peu près la moitié de notre site que j'aimerais configurer de la sorte.

[tchize_]

Sur une page resultat uniquement d'un forward, ou sur une page n'étant que "inclue" dans une autre, tu peux te contenter de mettre un servlet filter, qui n'agit qu'en cas de request, et qui redirige "ailleurs".

Sur le resutat d'un redirect, c'est beaucoup plus complexe, car il est difficile de faire la différence facilement et de manière générique entre un redirect et un requete isolée, puisque le redirect passe par le navigateur.

[Roger_Rabbit]

Aye... je comprends mieux le problème.
Ca va être coton, alors
Bon, on va procéder par étapes, alors!

Merci de ton aide!