Discussion :

[Viscapon]

Bonjour tout L monde,

voila je developpe depuis quelques jours une application J2EE en utilisant struts en començant par le commencement cad un module d'authetification et ma premier page d'acceuil qui permet à mon utilisateur dese loger marche tres bien et ne permet l'accés qu'aux utilsateur qui ont le bon login et le bon motde passe pour accéder à ma 2eme page jsp appellée (succes.jsp).Cependant ja'i une petite ambiguité c que lorsque je tape l'URL de cette page (succes.jsp) la page s'affiche .

EXP quand je tape http://localhost:8080/test/succes.jsp j'ai la page en question qui ne doit etre accéssible que via la permiere page d'aceuil apres autehtification .

C'est comme ci ma page d'authentification ne servait à rein .

[TheJoe]

Salut,
Je connais pas tres bien Struts, mais j'avais fait la meme chose en jsf.
Il faut ajouter un filtre dans web.xml qui teste que l'utilisateur en cour a bien le droit d'acceder à cette page. Si c'est pas le cas tu le redirige vers la page d'autentification.
En général, pour une politique de sécurité plus sure, il faut toujours vérifier qu'à chaque requete l'utilisateur à le droit de visualiser la page.

[witch]

Bonjour,

EXP quand je tape http://localhost:8080/test/succes.jsp j'ai la page en question qui ne doit etre accéssible que via la permiere page d'aceuil apres autehtification .

C'est comme ci ma page d'authentification ne servait à rein .

Et normalement, tu fais quoi pour que cette page "succes.jsp" ne soit accessible qu'après authentification?
Si t'as un problème avec du code de cette page, il vaut bien que tu le montres, ça sera plus facile de t'aider
Et prend ton temps à écrire tes messages, et à les lire avant de le valider, pour éviter certaines fautes de frappe ou autres.

++

[Viscapon]

Et normalement, tu fais quoi pour que cette page "succes.jsp" ne soit accessible qu'après authentification?
Si t'as un problème avec du code de cette page, il vaut bien que tu le montres, ça sera plus facile de t'aider
Et prend ton temps à écrire tes messages, et à les lire avant de le valider, pour éviter certaines fautes de frappe ou autres.

En fait j'ai supprimer mon projet quand je me suis rendu compte que mon application est défaillante coté confidentialité ,Dieu merci je me suis rendu compte très tot et donc j'ai plus le code de mon ancienne application et la premier chose que j'ai decider de faire c'est de poster ma problématique ici afin d'avoir les iddées claires avant de refaire mon application .

Cependant ,consernant la methode utilisée :j'ai une BD sql et dedans ma table user avec le login et password des utilisateurs .J'utilise hibernate pour le mapping et j'utilse la class UserDAO pour ajouter une methode getUser(login,password) qui me recupére avec succés les objets user qui ont le bon login et pssword que je passe en pramètres .D'autres part j'ajoute une action and form via struts

et en gros j'avait mis une class valide sous la forme:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
 
public class Valide{
 
 
  private UserDao userDao;
 public User identify(String login, String password) {
    return userDao.getUser(login, password);
  }
 
}

Et dans ma class UserLoginAction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
public ActionForward execute(
  ActionMapping mapping,
  ActionForm form,
  HttpServletRequest request,
  HttpServletResponse response) {
  UserLoginForm userLoginForm = (UserLoginForm) form;
User user = Valide.identify(login password);
 
 
  if ( user != null )
  {
 
   return mapping.findForward("success");
  }
 
  return mapping.findForward("failure");
 }

Et ça marche car quand je saisissait des informations non existantes dans ma BD et ça ne bascule pas vers la page success.jsp et je rest sur la meme page d'acceuil .

[Sun03]

Bonjour,

Essayer de voir ServletFilter

Ok

[Viscapon]

Bonjour,

Essayer de voir ServletFilter

Ok

Entendu je jeterais un coup d'oeil sur ServletFilter et je verrais si ça résouderais mon probleme,merci .

[tchize_]

pour information, les conteneurs java gèrent déjà eux même la sécurité, pour autant qu'on en accepte les contraintes. Le conteneur va authentifier l'utilisateur pour les requetes sur les zones sécurisées, va paut etre exiger du ssl pour l'authentification, si tu l'a demandé, et va te permettre des modes de login comme formulaire ou basique ou certificat ssl, etc. fait des recherches sur web.xml et security-constraint