Discussion :

[Livingstone]

Bonjour,

Je souhaiterais utiliser Spring Security pour le login d’une application mais j'aimerais bien avoir qqs réponses avant de me lancer dans sa mise en place :
Donc j’ai lu plusieurs tutoriaux qui expliquent effectivement quels JAR on a besoin pour mettre en place Spring Security, comment paramétrer les fichiers XML et comment créer sa page JSP de login. Jusqu’ici pas de problème. J’ai lu aussi qu’il fallait utiliser un algo de cryptage genre MD5 ou SHA pour encoder le password du user dans la base de données. là encore, OK.
Mais comment le mot de passe que va saisir le user sur la partie client va véhiculer entre le client et le server ? Si mon user a pour mot de passe « toto » et qu’il appuie sur le bouton pour se logguer, le mot de passe « toto » passe sans protection du client vers le server ? Ou alors est-ce que Spring Security s’occupe d’encapsuler l’URL en la protégeant ?
Je suis un peu perdu dans tout cela… Un collègue qui ne connait pas Spring Security me disait qu’il fallait mieux que la page de login soit sur « HTTPS ». Vrai ? Faux ? Les deux (Spring security et HTTPS) sont-ils compatibles ?

[NicoL__]

Https permettra effectivement d'éviter que le mot de passe circule en clair sur le réseau. Spring Security peut prendr en compte tout cela :
http://java.dzone.com/articles/java-...ion-security-0