Discussion :

[Kikujiro]

Bonjour,

J'ai actuellement un gros souci sur une application J2EE qui tourne sous JBoss.

J'ai une servlet qui vérifie l'authentification d'un utilisateur après soumission d'un formulaire, j'ai des filters mis en place pour vérifier l'accès à chaque servlet ( si par exemple on essaie d'y accéder sans être en session).

Seulement, quand on tape l'url httpS://application/servletxxx on peut traverser directement, et on se retrouve authentifié avec comme login "null", qui plus est avec des droits d'administration.

J'ai repris cette application récemment, et je ne sais pas très bien d'ou peut provenir cette faille (plutôt conséquente).

Merci de me donner des pistes

[fr1man]

La sécurisation n'est gérée qu'au niveau de filtres ou est elle également gérée par les <security-constraint> du web.xml ?
Si ce n'est pas le cas, il faudrait utiliser ce mécanisme standard.

[Kikujiro]

En effet, il n'y a pas de security-constraint dans le web.xml de mon application.
Qu'est il nécessaire de spécifier ?

[fr1man]

Disons que tu peux gérer l'authentification et la sécurisation d'une application à l'aide du web.xml, d'une source de données (sgbd etc...), et de fichiers de config de ton serveur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
<security-constraint>
        <web-resource-collection>
            <web-resource-name>Secure Content</web-resource-name>
            <url-pattern>/</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>NONE</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
 
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
 
    <security-role>
        <description>The role required to access restricted content </description>
        <role-name>admin</role-name>
    </security-role>

Tu peux utiliser ces balises, mais elles ne sont pas toutes obligatoires.
Là dans l'exemple, toutes les URL sont sécurisées et autorisées pour l'utilisateur qui a le rôle d'admin.
Fais une recherche sur le net, tu trouveras des exemples sur JBOss.

[Kikujiro]

Merci !
Je vais essayer avec ça.
Juste une dernière question, le role-name est récupéré à partir d'où ?
Je veux dire, quel champ ou donnée de mon application va-t-il vérifier ?

[fr1man]

En fait la sécurité fonctionne avec un couple login/role.
Tu peux donc autoriser un ensemble de pages pour un role (donc potentiellement un ensemble d'utilisateurs.)
Le rôle sera récupéré après authentification à partir d'une base de données ou autre stockage.