Vues de sécurité

Avant de pouvoir utiliser certaines fonctions de sécurité de WebSphere Commerce, vous devez définir les vues associées correspondant à votre magasin. Pour cela, suivez la procédure indiquée ci-dessous :

Pour plus d'informations sur la création de vues et le développement de votre devanture, reportez-vous au document Store Developers Guide.


Délai d'expiration de la connexion

Pour utiliser la fonction de sécurité fondée sur le délai d'expiration de la connexion, vous devez définir les vues LoginTimeoutErrorView et ReLogonFormView correspondant à votre magasin.

LoginTimeoutErrorView :

Si les informations de délai d'expiration de la connexion sont incorrectes, WebSphere Commerce réachemine le navigateur de l'utilisateur vers cette vue. Si tel est le cas, il est probable que le cookie ait fait l'objet d'une manipulation.

Attributs :

ECConstants.EC_LOGIN_TIMEOUT_ERROR_MSGCODE 1 : Valeur incorrecte définie pour l'heure d'expiration.
2 : Valeur incorrecte définie pour l'heure de connexion.
3 : Valeur incorrecte définie pour l'heure de connexion et/ou l'heure d'expiration.

ReLogonFormView

Cette vue s'affiche lorsqu'une session utilisateur est arrivée à expiration. Elle devra contenir un formulaire permettant à l'utilisateur d'entrer son ID de connexion et son mot de passe. Le bouton Envoyer permettra d'appeler l'instruction de connexion. Le formulaire devra également contenir un bouton Annuler qui réacheminera l'utilisateur vers une autre page (généralement, la page de devanture).

Attributs :

Non disponible

Attributs du formulaire :

ECUserConstants.EC_UREG_LOGONID ID de connexion de l'utilisateur.
ECUserConstants.EC_UREG_LOGONPASSWORD

 
Mot de passe de connexion de l'utilisateur.
ECUserConstants.EC_RELOGIN_URL Adresse URL qui s'affiche lorsque les autorisations d'accès fournies ne sont pas valides. Généralement, il s'agira du nom de cette vue.
ECConstants.EC_STORE_ID
 
Identificateur du magasin.
ECConstants.EC_URL Adresse URL qui s'affiche lorsque les autorisations d'accès entrées correspondent à un autre utilisateur. Généralement, il s'agira de la page d'accueil d'un magasin, ou de l'adresse URL utilisée pour une page de connexion à un magasin.

Invalidation du mot de passe

Pour utiliser la fonction de sécurité fondée sur l'invalidation du mot de passe, vous devez définir la vue ChangePassword correspondant à votre magasin.

ChangePassword

Cette vue s'affiche lorsque le mot de passe utilisateur est arrivé à expiration. Elle devra contenir un formulaire permettant à l'utilisateur d'entrer l'ancien et le nouveau mot de passe. Le bouton Envoyer permettra d'appeler l'instruction ResetPassword. Le formulaire devra également contenir un bouton Annuler qui réacheminera l'utilisateur vers une autre page (généralement, la page de devanture).

Attributs :

ECConstants.EC_PASSWORD_EXPIRED_FLAG 1: Le mot de passe de l'utilisateur a expiré. Cet attribut permet de distinguer cette vue de celle utilisée pour la modification du mot de passe, qui est identique. La vue correspondant à la modification du mot de passe peut être appelée par un utilisateur, et le fichier JSP associé à cette vue doit être le même dans les deux cas. Ce fichier doit rechercher cet attribut pour déterminer la page à afficher.

valeur nulle : L'attribut ne se trouve pas dans une adresse URL. Ceci correspond à la procédure normale de modification du mot de passe.

ECUserConstants.EC_UREG_LOGONID ID de connexion de l'utilisateur en cours.
ECConstants.EC_LOGIN_RETURN_URL Adresse URL vers laquelle est réacheminé le navigateur lorsque la modification du mot de passe a abouti. Cette adresse URL sera transmise à une commande d'action sous le nom ECConstants.EC_URL.

Attributs du formulaire :

ECUserConstants.EC_UREG_LOGONID ID de connexion de l'utilisateur. L'ID de connexion en cours a été transféré dans la vue.
ECUserConstants.EC_UREG_LOGONPASSWORDOLD Ancien mot de passe.
ECUserConstants.EC_UREG_LOGONPASSWORD Nouveau mot de passe.
ECUserConstants.EC_UREG_LOGONPASSWORDVERIFY Nouveau mot de passe pour confirmation.
ECConstants.EC_URL Adresse URL vers laquelle les utilisateurs sont réacheminés lorsqu'un mot de passe a été modifié. La valeur a été transférée dans la vue.
ECUserConstants.EC_RELOGIN_URL Adresse URL vers laquelle le navigateur est réacheminé en cas d'échec de la modification du mot de passe.

Instructions protégées par mot de passe

Pour utiliser la fonction de sécurité fondée sur les instructions protégées par mot de passe, vous devez définir les vues PasswordReEnterErrorView et PasswordReEnterFormView correspondant à votre magasin.

PasswordReEnterErrorView

Cette vue est utilisée dans les cas suivants :

  1. Un utilisateur n'a pas été en mesure de fournir son mot de passe et a été déconnecté.
  2. L'authentification a échoué.

Dans les deux cas, cet utilisateur peut passer à une autre page en activant un lien sur la page en cours.

Attributs :

ECConstants.EC_PASSWORD_REREQUEST_MSGCODE

 

>0 : Un incident s'est produit lors de la tentative d'authentification de l'utilisateur.

valeur nulle : L'attribut ne se trouve pas dans une adresse URL. L'utilisateur n'a pas fourni le mot de passe et il est déconnecté.

PasswordReEnterFormView

Cette vue s'affiche lorsque l'utilisateur tente d'exécuter une instruction protégée par mot de passe. Elle doit comporter un formulaire permettant à l'utilisateur d'entrer son mot de passe. Ce formulaire doit contenir deux zones d'entrée du mot de passe.

Attributs :

ECConstants.EC_PASSWORD_REREQUEST_URL Cette adresse URL s'active à l'aide du bouton Envoyer situé sur le formulaire.
ECConstants.EC_PASSWORD_REREQUEST_MSGCODE Code définissant le message qui s'affiche :

1: Les mots de passe entrés ne concordent pas.
2: Vous n'avez pas entré de mot de passe.
3: Le mot de passe entré est incorrect.

Attributs du formulaire :

ACTION : L'adresse URL est transmise sous la forme d'un paramètre nommé :

ECConstants.EC_PASSWORD_REREQUEST_PASSWORD1 Premier mot de passe.
ECConstants.EC_PASSWORD_REREQUEST_PASSWORD2 Second mot de passe.

Protection des scripts intersite

Pour utiliser la fonction de sécurité fondée sur la protection des scripts intersite, vous devez définir les vues ProhibitedAttrsErrorView, ProhibitedCharacterErrorView et ProhibCharEncodingErrorView correspondant à votre magasin.

ProhibitedAttrsErrorView

Cette vue s'affiche lorsque la demande n'est pas traitée car elle contenait des attributs interdits.

ProhibitedCharacterErrorView

Cette vue s'affiche lorsque la demande n'est pas traitée car elle contenait des caractères interdits.

ProhibCharEncodingErrorView

Vue identique à la vue ProhibitedCharacterErrorView présentée plus haut.

Tâches connexes

IBM copyright