sdx-users
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [sdx-users] Re: [sdx-users] Re: [sdx-users] Re: [sdx-users] Peut on

From: Pierrick Brihaye
Subject: Re: [sdx-users] Re: [sdx-users] Re: [sdx-users] Re: [sdx-users] Peut on enregistrer un document dans une base sans etre identifié ?
Date: Tue, 12 Feb 2002 15:03:32 +0100
User-agent: Mozilla/5.0 (Windows; U; Win98; fr-FR; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 
Rui AVELINO wrote:


Moralité : Si vous voulez que tout un chacun puisse uploader, à quoi bon
vérifier ? Vous pouvez postuler de faire une confiance aveugle à votre
code (vous êtes côté serveur) et vous passer d'un "login, relogin".


je comprend pas bien cette remarque ?
Ce que je veux dire, c'est que si vous voulez accorder à toute personne la possibilité d'uploader, il n'est pas nécessaire de tester l'utilisateur si vous voulez le faire. J'ai vérifié que les fonctions d'upload ne faisaient aucun contrôle sur l'utilisateur ; il suffit donc, dans la page d'upload, d'uploader sans tester qui uploade :-)
Si, après, vous ne souhaitez rendre accessible cette page d'upload accessible qu'à certains utilisateurs, c'est un autre problème. 



sinon pour ma part j'ai fait les tests suivants :

----------------------------------------------------------------
<xsp:logic>
   User oldSdxUser = Utilities.getUser(sdxEnvironment, session);
   Utilities.validateUser(sdxEnvironment, session, "writeranonyme",
"motdepasse");
</xsp:logic>

... traitement

<xsp:logic>
   Utilities.validateUser(sdxEnvironment, session, oldSdxUser.username,
oldSdxUser.password)


;

</xsp:logic>
------------------------------------------------------------------

ce code ne fonctionne pas l'erreur (qui parait logique :) ) c'est qu'on
a pas le droit d'accéder au valeur de oldSdxUser 


Exact. Les membres que j'ai donnés sont "private".

A moins soit :
- de patcher SDX pour avoir une méthode validateUser ayant une signature du type : validateUser(SDXEnvironment sdxEnvironment, HttpSession session, SDXUser user) ce qui impliquerait un probable repackaging des classes, - de patcher SDX pour donner une meilleure visibilité à ces membres (ou mieux, utiliser des accesseurs), - de sauvegarder les données utilisateur *au moment du login* et de les placer dans la cookie de session (session.setAttribute("NomUtilisateur", userName); session.setAttribute("MDPUtilisateur", userPassword);).
... je ne vois pas comment faire. Mais bon, on a 3 solutions ; je les ai données dans l'ordre inverse de mes préférences 


User tmpUser = Utilities.getUser(sdxEnvironment, session);
Utilities.validateUser(sdxEnvironment, session, "writeranonyme",
"motdepasse);
sdxUser = tmpUser;




Pour le code précèdent c'est pareil
apparemment on remet pas l'ancien utilisateur ...
dans mes test l'utilisateur reste en tant que "writeranonyme"
Ici c'est normal. Sans validateUser ou sans écriture dans le cookie de session (session.setAttribute("sdxUser", user);), cette variable est définitivement perdue après l'exécution de la XSP. 


--
Pierrick Brihaye, informaticien
Service régional de l'Inventaire
DRAC Bretagne
mailto:address@hidden
reply via email to
[Prev in Thread] Current Thread [Next in Thread]