Discussion :

[sekaijin]

Bonjour

je tente de sécuriser une web app en vain

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
   <security-constraint>
      <display-name>Mise en oeuvre de HTTPS</display-name>
      <web-resource-collection>
         <web-resource-name>Protected Area</web-resource-name>
         <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <auth-constraint>
         <role-name>manager-gui</role-name>
      </auth-constraint>
      <user-data-constraint>
         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
   </security-constraint>
 
   <login-config>
      <auth-method>DIGEST</auth-method>
      <realm-name>Tomcat Manager Application</realm-name>
   </login-config>
 
   <security-role>
      <role-name>manager-gui</role-name>
   </security-role>

le https fonctionne bien. si je retire <auth-constraint>du web.xml j'arrive bien sur la page du site et le navigateur reconnait le site comme étant sécurisé (approuvé)

mais si je veux authentifier l'utilisateur je dois définir un rôle et là rien à faire
j'obtiens toujours un 403 sans avoir eu la fenêtre de login qui s'affiche.

sur le même serveur avec la même conf sur le manager je parviens à me connecter.

où est le problème ?
Il y a surement un truc que j'ai raté mais je ne vois pas quoi.

Je tiens au BASIC ou DIGEST il s'agit de sécuriser une web app qui fournis des flux rss. donc pas de formulaire.
A+JYT

[sekaijin]

J'ai abandonné ce test pour me concentrer sur la vrai webapp cible.
et j'ai mis en place l'auth BASIC