Discussion :

[petitpasdelune]

Je ne sais pas si le sujet est clair.

Mon problème:
Je souhaite mettre certaine définitions Tiles derriere une URL de style http://monsite.com/monappli/secure/* afin de pouvoir mettre en place une politique de securité.

Le contexte:
J'utilise Tiles avec une centralisation des définitions dans mon fichier tiles-config.xml.

Toutes les pages sont virtuelles, sauf la page de garde.

Dans struts-config.xml il n'y a que des références aux noms des définitions Tiles.

Est-ce qu'il suffit de faire une chose du style (struts-config.xml) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
    <action
      attribute="userForm"
      input="user.form.page"
      name="userForm"
      path="/user"
      parameter="a"
      scope="request"
      type="com.maboite.monapp.struts.action.UserAction">
      <forward name="display" path="/secure/user.page" />
      <forward name="list" path="/secure/user.list.page" />
      <forward name="default" path="/secure/home.page" />
      <forward name="error" path="/secure/error.page" />
      <forward name="failure" path="/secure/user.form.page" />
    </action>

ou bien (tiles-defs.xml)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
...
	<definition name="/secure/user.page" extends="baseLayout">
		<put name="top" value="/WEB-INF/atom/top-on.jsp" />
		<put name="menu" value="/WEB-INF/atom/menu-on.jsp"/>	
		<put name="main" value="/WEB-INF/atom/main-user.jsp"/>	
	</definition>
...

pour que le framework de sécurité effectue les contrôles nécessaire ?

PPDL

[c_nvy]

Qu'entends-tu par "framework de sécurité" ?

[petitpasdelune]

D'abord je vais essayer d'utilser la classe Filter, ensuite je vais essayer JAAS.

(D'accord, framework n'est pas le terme idéal )

PPDL

[c_nvy]

Je ne suis pas une spécialiste dans ce domaine mais je ne vois pas l'intérêt de sécuriser tes tiles.
Je pense que ce sont plutôt les jsp qu'il faut mettre dans un répertoire secure.
Mais je vois dans ton tiles-defs.xml que tu les a mises dans un répertoire sous WEB-INF.
Elles ne sont donc déjà pas accessibles via une url.

Donc ma question est : Que veux-tu sécuriser de plus ?

[petitpasdelune]

En fait oui, il n'existe qu'une seule jsp "réelle" qui correspond au choix des différents modules de l'application. Je souhaite utiliser un mécanisme de gestion d'authentifications et de rôles pour interdire, en fonction du rôle, l'utilisation d'URLs du style http://www.maboite.com/monappli/home...ent=importante

Au delà, l'idéal serait d'avoir un système à la Acegi Security qui me permettrait de supprimer les tables de rôles et d'authenfication de ma BD et de tout déporter vers un source d'authentification externe.

PPDL.

[petitpasdelune]

J'abandonne l'idée pour l'instant et je reste sur une solution Filter.

Merci.

PPDL