Salve Galera, Tranquilo?
Uma pergunta, sobre questão de segurança…
Estou reformulando um site já existente da intranet aonde trabalho, e hoje ele não trabalha com mvc, estou aplicando este pattern e surgiu uma duvida.
No desenvolvimento estou utilizando struts, na hora de autenticar um usuário (login) aonde é melhor eu fazer a segurança? no servlet ou no jsp? incluo um objeto de sessão nas paginas restritas, ou nos servlets restritos?
Pergunto isso, pois nem tudo no sistema há restrição, só algumas funcionalidades exigem restrição e nível de perfil de usuário para acesso.
O que acham melhor?
Ta, calma ai, como assim no jsp ou no servlet? Por servlet, tu te refere ao controller? Bem, quanto o cara se logar, tu pode setar um objeto na session dele representando um usuário logado, e no teu controller tu testa se esse objeto existe, do contrário, redireciona o cara pra página de login. Tb pode ser implementando via Filter. Agora, qual perfil de usuário pode acessar qual conteúdo, é trabalho pra um filter na minha opnião.
Concordo com o Matheus… mas acho q colocaria a parte de rederecionamento para a pagina de login no servlet mesmo, sem filters. Mas a parte de permissoes, de nivel de acesso seria um filter
explicando melhor, como mvc utilizo servlets apenas para controller.
Já vi algumas implementações que crio um array de permissões nos servlets, mas ainda estou meio vuando em como setar melhor este tipo de permissionamento para tipos de usuarios com suas permissões.