Autentificacion JSP

smeagolKalibans · #1 (**permalink**) 15/07/2005, 06:38

Hola a todos,
Estoy realizando una aplicacion en Jsp. Pero tengo un problema. Cuando un usuario introduce directamente la url de una pagina mia puede acceder a ella, tenga privilegios o no. Quisiera saber todos los métodos que puedo utilizar para comprobar la identidad de un usario en cada página antes de cargarla.
He leido algo sobre un Bean que se guarda con HTTPSession o algo asi. No se como van los tiros de desencaminados.
Gracias..

stock · #2 (**permalink**) 17/07/2005, 23:15

Puedes usar el objeto session que ya biene definido en la tecnologia JSP

es una instancia de la clase HttpSession.

Código PHP:

  //Asignamos un valor a una session 
//session.setAttribute("nombreParaAccesar","valor"); 
//ejemplo: 
session.setAttribute("login","stock"); 
 
//para accesar al contenido de la session creada 
//session.getAttribute("nombreParaAccesar") 
//ejemplo: 
session.getAttribute("login")

Si la session login fue creada antes esta arrojara stock, de lo contrario arrojara null

espero haber sido de ayuda

have funn!!

smeagolKalibans · #3 (**permalink**) 18/07/2005, 04:08

Gracias por la información. Pero me asalta la duda. He buscado por internet y no lo encuentro. Donde se guarda la información del session bean?? La comunicación es criptografiada? o está codificada? Se guarda en una cookie de sesión?
Además estoy interesado en estudiar otros metodos? Hay alguno mas? (aun si pudiera parecer peor).
Gracias de nuevo por la contestación, me ha servido de ayuda

Willie · #4 (**permalink**) 18/07/2005, 06:34

el session es solo un objecto, y en el ejemplo de stock, la informacion se guarda en memoria. La comunicacion no es segura. Y no, no hay cookie :).

Los otros metodos son: cookies, como lo has mencionado, y modificar el URL. De lo ultimo no estoy muy seguro como se hace, creo que se genera una llave y la pones en el URL para cada usuario, por cada sesion, o algo asi va el concepto. Esto se utiliza en caso de que el usuario haya desactivado las cookies en el browser.

stock · #5 (**permalink**) 18/07/2005, 10:39

AHhhhhh y tambien esta la autentificacion por IP pero esa casi nadie la usa, pero existe

smeagolKalibans · #6 (**permalink**) 19/07/2005, 03:42

Gracias a los dos. Entonces tenemos 4 metodos. Los tres primero da igual la maquina. Lo que importa es la sesión: Por cookie, por id session (session bean), y por URL modificada. El ultimo y casi no usado es parecido a la limitación que hacen los servidores segun el nombre de maquina (IP).
Lo de la modificacion de URL si que se de que va. Y es como has dicho. Se genera la clave de sesión, que tiene que ser lo más dificil posible de averiguar y se introduce en la url.
He estado investigando sobre los metodos. El de url no lo utiliceis nunca, ya que es la más facil de suplantar, además se queda registrado en logs y en los historiales de los navegadores. El método de las cookie tampoco es bueno, ya que las cookie se pueden modificar y es facil de sumplantar. Además, existen muchos metodos de cross site scripting, que si el usuario tiene un navegador con alguna vulnerabilidad, se le puede capturar la cookie y por lo tanto la sessión. El que menos conozco es el otro. El de sesion bean, en un principio pinta el mas seguro, pero habria que estudiarlo.
Gracias por todo