Discussion :

[the java lover]

Je développe un Intranet avec des pages jsp utilisant des beans, et des servlets…
Pour améliorer la sécurité, une authentification est requise au lancement de l’Intranet. Ceci entraine la création d’une variable de session.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 
HttpSession session = req.getSession() ;
Session.setAttribute(« user », new User(id, login, role)) ;

Si quelqu’un essaye d’accéder directement à une page jsp de l’Intranet, sans être passé par l’authentification, il doit être redirigé vers une page « Accès interdit !! »

Pour cela, j’effectue un test dans chaque page jsp :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
 
if ( (User) request.getSession(false).getAttribute("user") != null){  
    // j’affiche le contenu statique de ma pages jsp
    // j’exécute les méthodes du bean qui font afficher le contenu dynamique de ma page
}
else
    res.sendRedirect(« forbidden.jsp ») ;	// sinon je renvoie la page d’interdiction

Le problème c’est qu’après une déconnexion ( fermeture de la session par session.invalidate() ), si je tape l’adresse d’une jsp dans le navigateur, il y accède quand même…
Par contre si je fais actualiser la page, il me met la page d’Interdiction…

[RanDomX]

c le cache du navigateur.

Si tu veux etre sur que l'objet soit inccessible set la à null;

[the java lover]

Ca fait pareil si je fais session = null ...

[buffyann]

pour eviter ça, il faut que la page ne soit pas chargé du cache, ecrit donc en plus dans ta page le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
response.setHeader("Cache-Control","no-cache"); //HTTP 1.1
response.setHeader("Pragma","no-cache"); //HTTP 1.0
response.setDateHeader ("Expires", 0); //prevents caching at the proxy server

ça devrait suffire...
bon courage !

[the java lover]

Voici le code de ma JSP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<HTML>
 
   <HEAD>
 
      <TITLE> Gestion des Mots de Passe </TITLE>
 
   </HEAD>
 
      <BODY bgcolor="#FFFFC0">
         <a href="../../Intranet.html" TARGET="_parent"><img src="../../images/return.gif" border="0"></a>
 
         <H2 align="center"> Annuaire </H2>
 
         <hr width="30%">
 
      <jsp:useBean id="annu" class="Annuaire" scope="application" />
 
      <%
          response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 
          response.setHeader("Pragma","no-cache"); //HTTP 1.0 
          response.setDateHeader ("Expires", 0); //prevents caching at the proxy server
          
          if((caf.User)request.getSession(false).getAttribute("user")!=null){
              
              String etat = ((request.getParameter("action")==null)?"affich":request.getParameter("action"));
              
              String res = (String)Class.forName("caf.Annuaire").getMethod("Tr_"+etat, new Class[]{HttpServletRequest.class, HttpServletResponse.class}).invoke(annu, new Object[]{request, response});
        
              out.println(res);
          
           }else
        response.sendRedirect("Forbidden.jsp");
      %>
 
   </BODY>
<HTML>

Mais ça fait pareil, ça ne marche que si je fais actualiser la page ...
A moins qu'il ne faille mettre les 3 lignes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 
response.setHeader("Cache-Control","no-cache"); //HTTP 1.1 
response.setHeader("Pragma","no-cache"); //HTTP 1.0 
response.setDateHeader ("Expires", 0); //prevents caching at the proxy server

dans le bean ???

[RanDomX]

Et si tu essayais de rajouter plutot un test sur la session pour savoir si elle est "valide".


Me rappelle plus torp mais un truc du genre

session.isInvalidated() retoutant un boolean ca doit exister, ou l'equivalent.

[buffyann]

je ne pense pas qu'il faille le mettre dans le bean mais bon...
personnelement, j'ai mis ce code avec le code de verif de la session dans une fonction javascript onload()... comme ci dessous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
function verif_session(){
<%  response.setHeader("Cache-Control","no-cache"); //HTTP 1.1
    response.setHeader("Pragma","no-cache"); //HTTP 1.0
    response.setDateHeader ("Expires", 0); //prevents caching at the proxy server
    HttpSession sess =request.getSession();
    if(sess.getAttribute("connect")==null){
        %>
          location.replace("Erreur.jsp");
     <%}%>
}
</script>
</head>
<body onload="verif_session();">

si après, ça ne marche toujours pas, verifie bien que ta session est invalidée, on sait jamais..

[the java lover]

Non, c'est bon ça marche en fait !!!

Merci

[kaissuni]

bonjour,

j'utilise Eclipse Indigo comme IDE, l'application marche parfaitement sauf que au niveau de la session exactement dans les méthodes de response.setHeader() et response.setDataHeader() il y a un erreur s'affiche comme suit :

The method setHeader(String, String) from the type HttpServletResponse refers to the missing type String

De même pour setDataHeader(),

Quelqu'un peut me siter le problème la dessus ?
Merci d'avance