|
| Création webservice REST et OAuth |
| Iniciado por cecile.aliaga, 08,ene. 2020 10:39 - 3 respuestas |
| |
| | | |
|
| |
| Publicado el 08,enero 2020 - 10:39 |
Bonjour,
J'aimerai créer un webservice permettant à des applications tierces d'accéder à ma base de données.
J'ai réussi à avoir un webservice avec des requetes GET permettant de récupérer des informations avec une authentification http basique en entete. (login:motdepasse).
Je me penche maintenant vers une authentification plus sécurisé de type OAuth.
Il existe plein d'exemples sur la partie client pour une authentification OAuth mais je n'ai rien trouvé pour créer cette OAuth sur le webservice.
Avez-vous des exemples, des explications pour mettre en place l'OAuth, quels sont les tables à ajouter à ma base de données ?
Merci |
| |
| |
| | | |
|
| | |
| |
Miembro registrado
324 mensajes |
|
| Publicado el 08,enero 2020 - 11:20 |
Il vous faut une page d'admin avec deux info à générer pour chaque utilisateur ayant accès au webservice
- Une clef d'application
- Une clef secrète qui n'est donné qu'une fois à votre utilisateur
La combinaison de ces données à la connexion au webservice joue le role de login et mot de passe
Si les identifiants sont correctes, vous transmettez alors un jeton à votre utilisateur, ce jeton sera à transmettre au webservice à chaque requête, si le jeton est valide tout va bien, sinon l'utilisateur doit repasser par une authentification basé sur la clef.
- Le jeton peut être de la forme JWT (y'a tout sur google)
- Le jeton peut être à utilisation unique et chaque requête redonne un jeton à l'utilisateur pour la requête suivante, c'est la meilleure sécurité
C'est tout ^^, l'OAuth reste vaste dans le principe, vous pouvez aussi vous mettre sur le Standard OpenID, tout dépends de votre utilisation de l'oAuth. |
| |
| |
| | | |
|
| | |
| |
| Publicado el 09,enero 2020 - 12:13 |
Merci pour ces informations.
Comment crée-t-on le jeton JWT ?
Si le jeton est unique, la demande se fait à chaque fois dans l'en-tete ?
J'ai commencé des tests si je fais une OAuth je suis redirigé vers une page vierge (celle que je dois créer sensé me demandé un login/mdp) ?
Est-il possible de faire une OAuth qui ne demande pas les identifiants de manière active (l'utilisateur entrant ses identifiants sur une page web) mais qui se fasse directement dans le code de l'application ?
Quels sont les avantages des OAuth sur l'authentification Basic HTTP ? |
| |
| |
| | | |
|
| | |
| |
| Publicado el 14,enero 2020 - 16:31 |
Bonjour,
N'ayant toujours pas réussi a avancé, je me permet de revenir vers vous.
Lors de la création des mes requetes GET que j'ai généré a partir de la base de données, une fonction authentification s'est créer pour chaque fichier. Je peut ainsi générer pour chaque requete une authentification.
A chaque requete ainsi je vais générer un token que je renvoi a l'utilisateur (ce token sera valable une seule fois pour la requete suivante).
Ainsi le client a besoin d'un login/mot de passe pour s'authentifier
- Une clef d'application
- Une clef secrète qui n'est donné qu'une fois à votre utilisateur
Que dois-je exactement garder en base de données (la clé d'application, la clé secrete, le token, autres ) ?
Comment générer le token, que doit-il contenir, doit-il être crypté ?
Merci |
| |
| |
| | | |
|
| | | | |
| | |
|