[sdx-users] securite utilisateur

[hopi]

Bonjour,

je monte un serveur basé sur sdx, et j'ai rajouté une page, accessible à tout 
utilisateur pour lui permettre de s'inscrire en ligne, sans avoir recours a 
l'administration.
Pour cela, j'ai donc une page avec le meme genre de formulaire que celui 
remplie par l'administrateur (prix dans user.xsl). deplus je reutilise le bout 
de code parix dans add_user.xsp qui traite l'ajout d'un utilisateur nouveau.

En fait j'ai été assez surpris de voir que l'on pouvait ajouter un utilisateur 
dont la confirmation du mot de passe etait differente du mot saisie la premiere 
fois. (mais bon il a suffit de rajouter un test sur ces deux string avant de 
sauver l'utilisateur).

En revanche j'ai constaté un autre problème que je n'ai pas su résoudre: il est 
possible d'incrire un utilisateur sous le code d'un autre utilisateur existant 
deja. c'est a dire qu'un utilisateur est tout simplement remplacé si qlq est 
inscrit sous le meme code. j'ai cherché comment tester l'existence d'un code 
avant de faire myUser.save() mais je n'ai pas trouvé. j'ai regardé ds les 
classes java de sdx, dans les classes de java.

au passage, dans "User myUser = new User(sdxEnvironment, userNick, userPass, 
userFirstN, userName, userLang, true);"
d'ou vient cette classe User? parce que je ne la trouve pas ds la doc java. et 
dans la doc java des classes sdx, il y a bien une classe user, mais avec 
d'autres constructeurs(moins de parametres) et sans methodes save(). j'avoue ne 
pas avoir compris alors quelle etait cette classe User utilisée ici.

je voulais donc avoir votre avis sur ce probleme de securité, et quelle etait 
la parade si il y en a une, pour eviter d'ecraser un utilisateur deja inscrit.

merci d'avance
a bientot.

-------------------------------------------------------------
NetCourrier, votre bureau virtuel sur Internet : Mail, Agenda, Clubs, Toolbar...
Web/Wap : www.netcourrier.com
Téléphone/Fax : 08 92 69 00 21 (0,34 € TTC/min)
Minitel: 3615 NETCOURRIER (0,15 € TTC/min)