Discussion :

[mouss4rs]

Bonsoir,

Sur mon appliweb, je suis rendu compte que lorsque je m'authentifiait avec le mot de passe et le login, on pouvait revenir en arriere dans la page d'authentification et aller à la suivante sans s'authentifier une nouvelle fois, ce qui fait que mon appli n'est pas trés sécurisé.
J'aimerai que lorsqu'on s'est deja authentifier et qu'on revienne vers la page d'authentification, que l'on soit obligé de rentrer a nouveau le login et le mot de passe.
Est-ce faisable?
Si oui, Comment?

merci

[KoRiGaN44]

Salut,

J'ai pas de reponse précise mais des pistes...

je ne pense pas que le bouton précédent puisse être gérer en tant que tel. la méthode onUnload() en javascript peut te permettre de savoir si un élément est décharger. Si par exemple ton <body> est fixe et que tu ne recharge que le reste tu peux faire un <body onunload="supprimeSession();"> .

Pour ce qui est de la persistance elle dois etre du a l'objet session si je ne m'abuse. tu n'a plus qu'a récupérer ta session et à lui attribuer une valeur null quand l'utilisateur décharge le body (quitte ton site).

A essayer...

J'espère avoir été clair.
Bon courage !

[mouss4rs]

merci,
La piste serait plutot celle des sessions a mon gout.
enfin en javascript, c'est pas mon dada.

J'ai trouver 2 solutions:

1. 1 L'utilisation de la balise
   

   Code :

   Sélectionner tout - Visualiser dans une fenêtre à part

   1
   2
   3
   4
    
   <session-config>
           <session-timeout>1</session-timeout>
       </session-config>

   ici cela devrait m'interrompre le traitement de la session.
   Seulement, cela ne le fait pas.
   je ne sais pas si la session correspond au fonctionnement de l'application.
   Le tout est que je veux interrompre le fonctionnement de l'application au bout d'une minute d'inactivité.
   
2. 2 On peut modifier le time-out de la session avec ceci :
   

   Code :

   Sélectionner tout - Visualiser dans une fenêtre à part

   1
   2
   3
   4
   5
    
   HttpSession session = req.getSession();
   		System.out.println("session1: "+session.getMaxInactiveInterval());
   		session.setMaxInactiveInterval(1);
   		System.out.println("session2: "+session.getMaxInactiveInterval());

   ce qui ne marche pas car je constate que je peux encore naviguer dans l'application sans m'authentifier au préalable.

J'avoue que je ne comprend pas trés bien si cela peut me servir a restreindre l'accès au bout d'un certain temps d'inactivité.
Voila, j'espere avoir été claire la dessus

merci pour la piste quand meme.

[KoRiGaN44]

Salut !

Et tout simplement dans la configuration du serveur d'application tomcat ou autre, je pense que tu peux définir la durée d'une session.

Le mieux serait encore de supprimer la session en quittant la page je pense...

[Lorantus]

Le probléme est de savoir quand le client quitte une page.

Pour ma part, je fais:
1) Expiration de la page de login/authentification (type Expires http ou html) dès l'affichage, comme cela dés qu'elle est de nouveau demandé, le client demande la nouvelle page valide
2) invalidation de la session lors demande de cette page (session.invalidate()).
3) le suivant te permet de voir -suivant le client- la page suivante, mais c'est lié au cache du client.
J'ai de bon résultats comme cela...

Après, il faut aussi jouer que le expires de tes autres pages (demandant une authentification), car le cache du client Web te mettera toujours des bâtons dans les roues.

Keep the loop !

[mouss4rs]

ouaip, pas trés clair tout ca.
a voir
merci

[Lorantus]