Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1262 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

JSP - Session - Cookie

n°542383
benou
Posté le 17-10-2003 à 15:24:00  profilanswer
 

Reprise du message précédent :

the real moins moins a écrit :


moi je trouve le forum plus lisible sans quotes inutiles :o :o :o


<darkmode>
ta gueule :o
</darkmode>
 


---------------
ma vie, mon oeuvre - HomePlayer
mood
Publicité
Posté le 17-10-2003 à 15:24:00  profilanswer
 

n°542574
kayl667
Posté le 17-10-2003 à 19:41:16  profilanswer
 

alors, je me suis galéré un peu quand même !! En fait, il fallait utiliser HttpSessionAttributeListener et HttpSessionBindingEvent. Et maintenant tout fonctionne comme je le voulais.
merci pour votre aide !! :jap:

n°779398
charly007
Posté le 27-06-2004 à 01:24:20  profilanswer
 

benou a écrit :

ben ouais faut pas le rebalancer à chaque fois ...
 
moi ce que je fais c'est que je me débrouille pour que ma page de vérification de l'identitée soit dans un repértoire spécial (ex : /ident/) et je fixe le path de cookie à ce repertoire, comme ca, le cookie n'est balancé que lorsqu'on va sur cette page. Sur les pages du site, je vérifie (avec un filtre) à chaque fois qu'on est identifié. Si c'est pas le cas, je redirige (HTTP 302)l'utilisateur vers la page d'ident (en stockant la page qu'il avait demandé en session) => il balancera son cookie. Si l'identification fonctionne, je le redirige vers la page qu'il avait demandé à l'origine, sinon c'est qu'il a pas de cookie ou que l'ident a échoué et je lui sers la page d'identification;
 
Comme ca, ca passe le password qu'une seule fois, au moment de l'identification, de la même façon que si c'était le browser qui l'envoyait par un formulaire


Tu pourrais montrer un bout du code correspondant stp ?
 
J'essaie de gérer un espace sécurisé avec le modèle MVC (une jsp pour que l'utilisateur saisisse son identifiant et son mot de passe, et une servlet qui récupère le tout).
Dans une page je vérifie identifiant et mot de passe, s'ils sont bons je crée une session. Sinon je redirige vers la jsp avec un bete dispatcher.forward(request, response).
 
Dans toutes les pages qui nécessitent que l'utilisateur soit authentifié je pensais faire un  

Code :
  1. HttpSession session = request.getSession(false);


Si session = null alors je balance vers la page d'authentification.
 
Ai-je bon ? Ce test suffit-il pour que ce soit sécurisé ?


Message édité par charly007 le 27-06-2004 à 01:30:21
n°779695
benou
Posté le 27-06-2004 à 19:32:51  profilanswer
 

ben là, a part ta page d'identification, aucune des autres pages du site n'est sécurisée ...
 
pour le filtre, tu créés un ServletFilter avec en gros ca dedans  :
 

Code :
  1. Session session = request.getSession(false);
  2. if ((session == null) || (session.getAttribute("identificationOk" ) == null)) {
  3.    response.sendReditect("/ident/index.jsp" ); 
  4.    return;
  5. }

n°779839
charly007
Posté le 27-06-2004 à 23:06:44  profilanswer
 

benou a écrit :

ben là, a part ta page d'identification, aucune des autres pages du site n'est sécurisée ...


Si sur chaque page je mets

Code :
  1. HttpSession session = request.getSession(false);
  2. // Si la session n'existe pas, rediriger vers login.jsp
  3. if (session == null {
  4.     RequestDispatcher dispatcher = request.getRequestDispatcher("/login.jsp" );
  5.     if (dispatcher != null) {
  6.       dispatcher.forward(request, response);
  7.     }
  8. }


Dans le cas où l'utilisateur n'est pas authentifié il n'a pas de session, donc session = null. Il me suffit de rediriger vers la page d'authentification dans ce cas. La suite des traitements n'étant pas réalisée, je pensais que c'était sécurisé.
D'ailleurs c'est ce que tu fais dans ton filtre, quand tu testes si session = null.
Quel est l'intéret de l'attribut identificationOk que je suppose tu attaches à la session lorsque l'identification a réussi ?
 :??:
 
Des questions sans but critique, étant débutant je veux simplement comprendre. ;)


Message édité par charly007 le 27-06-2004 à 23:15:05
n°779857
benou
Posté le 27-06-2004 à 23:47:50  profilanswer
 

charly007 a écrit :

La suite des traitements n'étant pas réalisée, je pensais que c'était sécurisé.


je pense pas non ... la création de session, c'est pas vraiment un signe comme quoi l'utilisateur est authentifié ...
alors que de mettre un attribut particulier en session une fois l'utilisateur identififié, là t'es sûr.
et oui, c'est ca que je fais dans mon filre, rien de plus ...

n°779862
charly007
Posté le 28-06-2004 à 00:12:04  profilanswer
 

benou a écrit :

je pense pas non ... la création de session, c'est pas vraiment un signe comme quoi l'utilisateur est authentifié ...
alors que de mettre un attribut particulier en session une fois l'utilisateur identififié, là t'es sûr.
et oui, c'est ca que je fais dans mon filre, rien de plus ...


Je vais creuser ça.
 
Merci.
 :jap:

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
destroy_session[cookie]help
Besoin de vôtre avis ( JSP + Applet inside )Livres de programmation JSP
[Problème] Passage servlet -> JSP, et mappage web.xmlVérifier la présence d'un cookie dans une page appelée par un include.
Comment un cgi recupère un cookie ?[PHP] Les variables de session magiques...
[PHP] session_register avec une variable "élaborée",syntaxeASP - variable de session dans un if (!)
Plus de sujets relatifs à : JSP - Session - Cookie

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.035 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR