Discussion :

[saveriu]

Bonjour,

Je développe une application Web avec JSP et des EJB. Pour gérer le bon login de l'utilisateur, j'ai un Bean de scope session qui contient l'utilisateur courant. Il s'initialise sur la page de login (je récupère l'objet Utilisateur avec l'identifiant et le mot de passe grâce à un EJB) et je test pour chaque page que l'utilisateur est différent de null. Auquel cas, je le renvoie sur la page de login.
Je me demande si cette solution est bien sécurisée.
Pouvez-vous me conseiller?

Merci

[fr1man]

Tu peux aussi utiliser les mécanismes d'authentification/sécurité de JEE.
Une partie se fait dans le web.xml, avec les tags suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<security-constraint>
<login-config>
<security-role>

Après, tu auras des fichiers à configurer dans ton serveur d'application, par exemple, le fichier login-config dans JBoss.
Regarde aussi du côté des REALM.

[saveriu]

J'avais déjà utilisé les realms mais ça utilise une base de données sans passer par JPA. N'y a t-il aucun autre moyen?

[fr1man]

Tu peux utiliser un base de données entre autres (fichiers, annuaire LDAP, etc...)

C'est important d'utiliser JPA ?
Autant utiliser les mécanismes prévus pour.

[saveriu]

En fait ça va me rajouter des traitements supplémentaires, car je vais devoir tester que l'id et le password appartiennent bien à la table utilisateur (le boulot du realm) et en même temps récupérer l'objet Utilisateur de la même table.
Bah, si il n'existe pas d'autre moyen tant pis... En tout cas merci pour ta réponse.