Les invocations d'actions Struts peuvent être protégées au même titre que n'importe quelle url d'une application Web.
Pour ce faire on utilise le mécanisme de sécurité du conteneur.
En configurant le fichier web.xml, vous pouvez restreindre certains patterns d'url à un certain type d'utilisateurs.
Par exemple, vous pouvez choisir de restreindre "/restricted/*" au rôle "admin".
<security-constraint>
<web-resource-collection>
<web-resource-name>
restricted
</web-resource-name>
<url-pattern>/restricted/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
Dans le fichier struts-config.xml :
<action path="/myAction" type="...">
...
</action>
<action path="/restricted/myProtectedAction" type="...">
...
</action>
Ainsi, l'Action "/myAction" est accessible par tous les utilisateurs. En revanche, l'Action "/restricted/myProtectedAction" n'est accessible que par le groupe "admin".
Pour plus d'information, lisez la documentation de votre conteneur de servlet concernant la sécurité.
|