Project

General

Profile

Actions

Bug #3576

closed

Impossible d'accéder à une ressource REST sécurisée depuis une webapp

Added by Nicolas Dupont over 9 years ago. Updated over 9 years ago.

Status:
Closed
Priority:
Urgent
Category:
API Rest
Start date:
07/25/2012
Due date:
% Done:

100%

Estimated time:
Navigateur:
Tous
Votre version de Silverpeas:
5.10
Système d'exploitation:
Votre base de données:
Toutes
Livraison en TEST:
Livraison en PROD:

Description

Lorsque l'on veut accéder à une ressource REST en dehors de la webapp silverpeas, lorsque celle-ci est annotée par @Authorized ou @Authenticated, on reçoit systématiquement une réponse 401, y compris en passant l'entête Authorization dans la requête.
Le problème vient de la classe UserPriviledgeValidation. On commence par récupérer l'id de la session HTTP si elle existe, puis vérifier que cet id est valide. Or on crée systématiquement une session, ligne 129, via request.getSession();, à remplacer par request.getSession(false);

Actions #1

Updated by Emmanuel Hugonnet over 9 years ago

  • Status changed from New to Closed
  • Assignee set to Emmanuel Hugonnet
  • Target version set to Version 5.11
  • % Done changed from 0 to 100

La session n'est plus créée.

Actions #2

Updated by Nicolas Dupont over 9 years ago

  • Status changed from Closed to Re-opened

C'était en fait insuffisant, la session étant déjà créée par un filtre d'un composant, mappé sur /*
Voir https://github.com/Silverpeas/Silverpeas-Components/pull/127

Actions #3

Updated by Nicolas Dupont over 9 years ago

Par ailleurs, même s'il y a une session ouverte qui n'est pas "valide", ne devrait-on pas tenir compte de l'entête Authorization quand il existe avant d'envoyer une réponse 401 ?

Actions #4

Updated by Emmanuel Hugonnet over 9 years ago

  • Status changed from Re-opened to Closed

Corrigé aussi

Actions

Also available in: Atom PDF