Je travaille sur une application Web intranet uniquement (J2EE) qui nécessite certaines fonctions de sécurité de base. Il y aura relativement peu d'utilisateurs autorisés pour le site, mais j'ai encore besoin de mettre en place une sorte de session sécurisée.Recherche d'une conception de session simple et sécurisée avec des servlets et JSP
Le flux de base que je regarde est de visiter le site => se connecter => utiliser le site => se déconnecter lorsque vous avez terminé (ou se déconnecter automatiquement lorsque le navigateur est fermé). Rien d'extraordinaire, pas même une option "remember me" lors de la connexion. La plupart du travail pour l'authentification est déjà fait - le site est accessible uniquement sur https, et j'ai une base de données qui stocke les noms d'utilisateur et les mots de passe cryptés. Donc, une fois que l'utilisateur s'est connecté, quel est le plus simple (idéalement, pas de cookies au-delà de ce que JBoss/JSP ferait en coulisse) pour mettre en place une session sécurisée? C'EST À DIRE. Est-ce qu'il suffit de vérifier la session pour une valeur similaire à "isUserAuthenticated", en vérifiant que la session existe (par ex. request.getSession(false)
) pour toutes les demandes entrantes dans mon servlet? Qu'en est-il d'empêcher les utilisateurs d'obtenir des fichiers JSP et de les forcer à utiliser une servlet pour toutes les demandes? D'autres considérations (et leurs solutions)?
Pour la première partie, vous pouvez vérifier http: // stackoverflow.com/questions/348090/assurer-utilisateurs-sont-authentifiés-dans-java-web-app –
C'est certainement le genre de chose que j'avais en tête. Pas que ce soit élégant (je devine que je vérifierais juste cette valeur à chaque demande de page), mais il semble très minime. –
J'ai répondu à vos questions dans un commentaire - veuillez jeter un coup d'œil. Bien que ce soit évidemment votre choix sur la façon d'implémenter ceci, gardez à l'esprit que bien qu'il y ait une courbe d'apprentissage impliquée pour faire ceci "la bonne manière", c'est en fait plus facile et plus simple à la fin (nous parlons littéralement 15-20 lignes de XML, c'est tout). – ChssPly76