DominoArea.org [Archive]

[fripouille76]

Salut tout le monde

J'ai vu que ce sujet avait déjà été traité mais je n'y ai pas trouvé de réponse (seulement des pistes mais vague on dira)

Voila, j'ai une belle application Web, dans laquelle un formulaire Html permet de s'authentifier.
L'idée est de permettre à tout le monde de voir le site, puis selon l'authentification on accède a des données différentes.

Ma question est la suivante : Comment depuis mon form HTML je peux simuler une authentification Domcfg sans l'afficher et en restant sur page une fois l'authentification effectuée?
En gros , en cliquand sur le bouton Ok de mon form, je m'authentifie sur ma base en envoyant en paramètre les donnés à la domcfg ?

Si vous aviez une piste ou un debut d'exemple je suis preneur

Merci de votre aide.

[Michael DELIQUE]

salut

j'ai déjà fait des essais dans ce domaine et rien de concluant malheureusement.

la solution mis en place a l'époque était différentes adresses pour le site en fonction de l'acces

[fripouille76]

j'arrive a ouvrir directement une BAL en passant le login et mot de passe en paramètre. avec "../names.nsf/login?Username=identifiant&Password=mdp".
Du coup je by pass la domcfg

Par contre j'arrive pas à le faire une autre application, je bute sur la syntaxe ...ou la méthode à utiliser.

[Michael DELIQUE]

ta solution fonctionne certes, mais question sécurité c'est une passoire : le mot de passe est en claire !

[fripouille76]

coté sécurité le mot de passe n'apparait pas dans l'url...

[Michael DELIQUE]

ben si : Username=identifiant&Password=mdp"

[roubech]

si tu as un formulaire d'authentification dans ton appli, c'est qu'au niveau LCA tu autorises l'accès Anonymous ?
Si tu veux être sur de couvrir tous les cas de figure, comme l'accès à l'appli depuis un raccourcis dans le navigateur, ou un lien direct vers un doc dans un mail, ou l'expiration de session ... il faut essayer de respecter l'archi Domino
L'idée d'un doc site internet dédié est une bonne piste. Tu peux alors déclarer ton formulaire de login perso juste pour ce site ...

[fripouille76]

Bon bah j'ai réussi, et j'ai pas vu ou les informations d'identifiant et mot de passe était visible dans l'url par contre

En gros voici ce que j'ai fait, hésitez pas à me donner votre avis et vos mises en gardes sur d'éventuelle problème de sécurité.

- L'utilisateur se connecte au site (avec un accès anonymous)
- L'utilisateur renseigne son login et mot de passe dans un formulaire HTML.
- Sur le Bouton "connecté" , j'exécute une fonction javascript toute bête.
- Je récupère Login et MDP et je fais un window.location = .../names.nsf/Login?Username=Login&Password=MDP&Redirectto=http://serveur/mabase.nsf?MaxXpage.xsp

je by pass bien le masque de la DOMCFG, j'ai regardé dans l'historique de navigation je n'ai pas de trace du mot de passe et du login saisie.

qu'en pensez vous ?

[Michael DELIQUE]

désolé

mais quand je vois un mot de passe qui traine en claire dans une url... ça veux dire que le mot de passe est accessible

essais avec firefox et une extension comme live http reader => https://addons.mozilla.org/fr/firefox/a ... rs/?src=ss

[roubech]

ton formulaire html, il vient d'où ? une page au sens Notes de ton appli ?

si la session de ton user expire, il va quand même se retrouver sur le masque de login par défaut du serveur (domcfg)
ou si il essayes d'ouvrir un doc pour lequel il n'a pas les droits, pareil
dans les appli Notes, on a souvent des workflow et donc des mails avec des liens vers des docs et ces liens ne passent pas par ton frumaulaire ...

[roubech]

si je me souviens de mes débuts en 4.6, il n'y a pas des masques spéciaux $$ReturnAuthenticationFailure et $$ReturnAuthorizationFailure qui pourrait te rendre service ?
et au lieu des passer tes champs en clair dans l'url, les passer en post depuis le formulaire directement en modifiant l'attribut action de ton form (ce qui est fait au final dans un masque de login dans une domcfg ou autre) ?