Authorizers

Un authorizer est un module chargé de décider si un profil utilisateur est apte ou non à accéder à une ressource (voir https://www.pac4j.org/5.7.x/docs/authorizers.html). Les authorizers à appliquer doivent être spécifiés dans le paramètre d'initialisation authorizers du filtre de sécurité dans le web.xml. Il est possible d'y ajouter des authorizers additionnels que l'on déclarera dans le fichier ewtAuthConfig.xml du dossier WEB-INF de la web application. Chaque authorizer est décrit par un bloc <authorizer> contenant des paramètres spécifiques au type d'authorizer. Les attributs suivants sont obligatoires et doivent être spécifiés pour chaque authorizer:

attribut name obligatoire

Nom de l'authorizer. Le nom sera à reprendre dans le paramètre d'initialisation authorizers du filtre de sécurité pour lequel il s'applique.

La librairie pac4j inclut quelques authorizers prédéfinis. Les valeurs suivantes ne peuvent être utilisés comme nom: csrfCheck, isAnonymous, isAuthenticated, isFullyAuthenticated, isRemembered, none.

attribut type obligatoire

Type d'authorizer. La version actuelle supporte les types suivants:

• simple
• role

attribut disabled

Cet attribut permet de désactiver un authorizer dans le fichier de configuration. Cette option peut être pratique lors des tests. À noter qu'il est aussi possible de désactiver un authorizer simplement en modifiant le nom de la balise <authorizer> (le bloc sera ignoré).