Discussion :

[S_ami]

Bonjour tt le monde,
je travaille sur une application JEE sur netbeans avec visual JSF.
je suis face à un petit problème qui est la restriction d'accès directe à certaines pages jsp.
je gère les rôles travers des méthodes qui s'exécutent automatiquement lors d'appuis sur un bouton ou un lien hypertext et qui retournent une valeur au navigateur, et selon les droits de l'utilisateur connecté je redirige ou nn l'utilisateur en utilisant les navigation roles.
mais si jamais quelqu'un copie l'URL d'une page protégée le navigateur affiche cette page.
alors j'ai utilisé les contraintes de sécurités, et j'ai écrit le bout de code suivant dans le fichier web.xml

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
    <security-constraint>
        <web-resource-collection>
        <web-resource-name>No-JSF-JSP-Access</web-resource-name>
        <url-pattern>/Web2/faces/DataSal.jsp</url-pattern>
        </web-resource-collection>
        <auth-constraint>
        <description>Pas de rôles, donc pas d’accès direct</description>
        </auth-constraint>
    </security-constraint>

j'ai protégé la page DataSal.jsp qui contient des données que seuls les utilisateurs privilégiés peuvent les consulter!
mais toujours je peux accéder directement à cette page.

Merci de votre help.

[gronono]

Salut,

Tu peux mettre tes jsp dans le dossier WEB-INF.

Si tu respectes bien le MVC, les pages jsp ne doivent jamais être appelées directement.
En principe tu devrais toujours passer par une Servlet.

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Tu peux mettre tes jsp dans le dossier WEB-INF.

Ce repertoire n'est pas conçu pour. les jsp je les laisse moi à la racine de ma webapp. Dans ton cas je t'aurais bien suggéré un filtre qui redirigerait vers une page de login si l'utilisateur n'etait loggé et essayait d'acceder à un jsp.

[gronono]

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

Si tu veux les mettre à la racine, il faut que tu les protèges pour pas qu'elles soient accessibles directement.

La problématique ne se limite pas qu'au login.
Si tu accèdes directement à ta jsp, tu risques ne pas avoir toutes les infos nécessaire pour l'afficher (variables de session, de request, ...)

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.

[libuma]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Et pourtant dans plein d'appli que j'ai vu, elles étaient placées dans ce répertoire.

il ne doit normalement contenir que :
-le descripteur de déploiment
-les classes
-Les librairies
-Les fichiers de config
Les vues ne devraient pas s'y trouver, mais bon c'est un avis perso.

Tout à fait d'accord.

[lastrecrue]

On peut faire les test du login au niveau de la page jsp même? non ??

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

On peut faire les test du login au niveau de la page jsp même? non ??

Faire un test de login ca voudrait dire faire un appel base, et initialiser une session etc..., oui on peut le faire, mais pour une bonne lisibilité du code et un respect du découplage couche vue et couche contrôleur NON, perso j'enrage quand je reprends du code avec ce type de codage , je revis là le codage à la php .
Mais bon on sort un peu du post de départ là, @S_ami as tu assez d'éléments de réponse à ta question? ou sinon tu peux répreciser ta question en tenant compte des réponses précedentes.

[libuma]

On peut faire les test du login au niveau de la page jsp même? non ??

Seulement les tests de formulaire bien rempli à l'aide de javascript pour une première vérification afin de ne pas avoir à recharger la page et faire X traitement(s) pour rien.

Sinon tu laisses la servlet controlleur gérer ça

[DevServlet]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Seulement les tests de formulaire bien rempli à l'aide de javascript pour une première vérification afin de ne pas avoir à recharger la page et faire X traitement(s) pour rien.

Tout à fait.

[lastrecrue]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

On peut faire les test du login au niveau de la page jsp même? non ??

Faire un test de login ca voudrait dire faire un appel base, et initialiser une session etc..., oui on peut le faire, mais pour une bonne lisibilité du code et un respect du découplage couche vue et couche contrôleur NON, perso j'enrage quand je reprends du code avec ce type de codage , je revis là le codage à la php .
Mais bon on sort un peu du post de départ là, @S_ami as tu assez d'éléments de réponse à ta question? ou sinon tu peux répreciser ta question en tenant compte des réponses précedentes.

Je suis tout a fait d'accord, mais je me suis dis que c'est une façon de faire avec ces avantages et ces inconvénients.

[S_ami]

Merci de vos réponse!
je suis d'accord avec toi @DevServlet que le dossier WEB_INF n'est pas conçu pour cela.
en fait, après quelques recherches j'ai trouvé une solution qui est la suivante :
http://www.blognote-info.com/fr/n446...pplication-web
et ça marche très bien.
mais je voudrais aussi avoir des informations sur la méthode que tu m'a suggérée (les filtre).
Merci de votre help

[DevServlet]

Pour l'instant tu peux garder ta solution, l'inconvenient que je trouve c'est que ca reste quand même dependant du framework JSF, la solution que j'avais déjà utilisée était de faire un filtre qui redirige tout seul vers le login, en gros ca reviendrait à reprendre cette methode

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if ((id.indexOf("secure") != -1) && !LoginManagerBean.isLogged()) {
			return _base.createView(fc, "/pages/login.jsp");
		}

mais dans un doFilter de ta classe qui implémenterait l'interface Filter.voila un exemple de filter si tu veux en faire.mais te prends pas trop la tête si t'as mieux à faire.
Bonne suite.

[S_ami]

Merci de votre soutien.