je m'explique : quand on fait un site en servlet JSP, les ervlet se prenne les requetes, font leur traitement, foute les données dans la Request et emande à une jsp d'afficher la page.
ma question est : comment on fait pour empêcher à un utilisateur d'accéder directement à la jsp (en imaginant qu'il arrive à trouver son url exacte).
 
si je ne me trompe pas, on est obligé de mette les jsp dans le site (je veux dire pas dans un rep à l'extérieur du site) de façon à ce qu'on puisse créé un dispatcher vers cette jsp.
 
bref, comment faire pour que seuls les servlets puisse se servir des jsp ?

tu peux changer le mapping standard des .JSP mais chuis pas sur que ça soit standardisé.
sinon avec un filtre doit y'avoir moyen de faire qqch dans le style je pense

ben oui mais j'ai peur que si je vire le mapping des jsp, les servlets ne soient plus capables de s'en servir. pareil pour le filtre, est ce qu'il ne va pas s'appliquer au moment du dispatch ?

à voir
si le filtre s'applique au dispatch, (c un peu bourrin), tu set un attribut dans la requete, dans ta servlet, et si le filtre trouve pas cet attribut, il renvoie 404 ou un truc comme ça

--greg-- a écrit a écrit : à voir si le filtre s'applique au dispatch, (c un peu bourrin), tu set un attribut dans la requete, dans ta servlet, et si le filtre trouve pas cet attribut, il renvoie 404 ou un truc comme ça

doit y avoir un truc plus simple.
 
ca cas se produit pour n'importe quelle application, donc ca doit être géré d'une façon ou d'une autre ...
 
dark a pas une idée ?

DarkLord a écrit a écrit :

tu sais pas ?

sinon si t'as apache devant ton tomcat/resin, tu configures apache pour qu'il accepte pas les requetes sur des jsp

benou a écrit a écrit :   tu sais pas ?

 
non

DarkLord a écrit a écrit :   non

ben comment vous faites, vous pour les sites que vous développez ? vous laissez l'accès au JSP ?

--greg-- a écrit a écrit : sinon si t'as apache devant ton tomcat/resin, tu configures apache pour qu'il accepte pas les requetes sur des jsp

ouais ...
 
edit : après reflexion c'est pas con ca ...merci !

Ben ouais, c'est génant ?

ben oui : si le mec tappe directement dans la jsp il va se manger un vilain message d'erreur avec un beau stacktrace au moment du usebean

Une 404 c'est tellement mieux ? Si on parle d'application web plutot que de site, y'a une raison. Une application a un point d'entrée. Si tu n'y passes pas, tant pis pour toi.

 
Si il est allé chercher (je sais pas où d'ailleurs) l'url d'une JSP, il l'aura bien cherché son message d'erreur...

c'est pas ca le problème, c'est qu'un stacktrace ca révele une partie importante de l'archi d'une appli et ca c'est pas bien !

Bon, ben une fois que tu mets le site en prod tu configure une page d'erreur et t'es tranquille alors.

Et a la limite j'en ai rien a faire que l'archi de mes applis soient visibles.

benou: pour la stacktrace: n'oublie pas la directive jsp "errorpage", tres utile dans ce cas.

ouais ... mais je suis plus sur que ca marche ...
je regarderai ...

ben si ça marche

--greg-- a écrit a écrit : ben si ça marche

sûr ???    
je me demande si y a pas une exception bizare quand la request ne contient pas un des attribut que tu essaey de récupérer en utilisant le tag useBean ...

ben normalement quelle que soit l'exception lancée, ce truc la catche et te renvoie vers la errorpage

 
je confirme

2 contre un, je m'incline    
 
merci !

;-)
ben essaie hein
des fois que

--greg-- a écrit a écrit : ;-) ben essaie hein des fois que

pff poulay

Bon,
 
Il me semble qu'il est possible de configurer l'accès à certaines ressources de ton application web pour qu'elles ne soient pas accessibles directement.  
 
Tu devrais pouvoir bloquer l'accès aux JSPs en plaçant tes JSPs dans un répertoire style "/pages/security/protected/" et en configurant sur le serveur web un "Realm" à la sauce Tomcat qui définit quel type d'utilisateur peut accéder à ces ressources...
 
cf définition Realms: http://jakarta.apache.org/tomcat/t [...] howto.html
 

 
ca m'a l'air pas mal ca. mais bon, le problème c'est que c'est pas standard (au sens j2ee du terme)

Après recherche dans Google de <security-constraint>, il semble que cette fonctionnalité ne soit pas spécifique à Tomcat mais à l'API servlet donc à J2EE
 
cf http://java.sun.com/j2ee/tutorial/ [...] html#73861
 
et http://java.sun.com/products/servl [...] 42700.html pour un exemple de fichier web.xml mettant en oeuvre des balises <security-constraint>

ca m'a l'air bien tout ca. merci !

Blague atosienne : tu utilises was

Meliok a écrit a écrit : Blague atosienne : tu utilises was

me parle pas de was, hein !!! qu'est ce que je suis emmerdé avec ce truc !
peuvent pas faire du jsp/servlet comme tout le monde non ?
 
was