|
FORUMS PROFESSIONNELS
WINDEV, WEBDEV et WINDEV Mobile |
| | | | | |
| Accueil → WINDEV 2025 → Sessions prélancées Webservice REST : faille de sécurité sur le token ? |
| Sessions prélancées Webservice REST : faille de sécurité sur le token ? |
| Débuté par xavier, 21 jan. 2026 15:07 - Aucune réponse |
| |
| | | |
|
| |
Membre enregistré
57 messages |
|
| Posté le 21 janvier 2026 - 15:07 |
Bonjour,
Nous utilisons un Webservice REST avec les sessions prélancées activées.
À chaque appel de nos points d’entrée, nous effectuons un contrôle d’authentification sur un Bearer token transmis dans le header HTTP Authorization, via :
sToken est chaîne = WebserviceLitEntêteHTTP("Authorization")
Problème observé :
1) Si un premier appel est effectué sans token, WebserviceLitEntêteHTTP("Authorization") ne retourne rien et le Webservice renvoie une erreur d’authentification (comportement attendu).
2) Si un appel est effectué avec un token valide, la fonction retourne correctement le token et le traitement se poursuit.
3) En revanche, après qu’un appel avec un token valide a eu lieu, il est ensuite possible d’appeler un point d’entrée sans transmettre de token. L'appel utilise la session prélancée et WebserviceLitEntêteHTTP("Authorization") retourne alors la valeur du token précédent et l’appel est donc accepté sans token. Donc, une requête sans token peut passer les contrôles d’authentification, ce qui pose un problème de sécurité.
À noter :
Nous avons également testé :
sToken est chaîne = WebserviceLitTokenUtilisateur()
mais le comportement est identique à WebserviceLitEntêteHTTP("Authorization").
Questions :
1) Quelle est la bonne pratique pour valider un token à chaque appel en mode sessions prélancées ?
2) Faut-il éviter l’utilisation des sessions prélancées pour les Webservices REST ?
Merci pour votre aide. |
| |
| |
| | | |
|
| | | | |
| | |
| | |
| |
|
|
|