[Outil] [NUSOAP] Autorisations d'accès [Résolu]

stailer · 19/03/2006, 23h01

Bonjour,

j'utilise en .net et flash mx un web service que j'ai développé en php, avec nusoap.
Le problème c'est que ce web service est accessible à quiconque trouvera la page php qui produit le wsdl.

Donc voilà ma question : comment définir des autorisations dans un web service crée avec nusoap ?
1ère solution : utiliser des variables get pour appeller la page php, mais bon... C'est loin d'être sécuritaire.

Merci pour vos réponses,

stailer · 19/03/2006, 23h31

question stupide, il suffit de définir un paramètre dans les fonctions appellées et d'envoyer un mot de passe, à vérifier dans la base de données par exemple.

stailer · 20/03/2006, 00h10

Quoi que la question n'est pas si con... Car même avec un paramètre, on peut récupérer et décompiler le flash, et du coup avoir le mot de passe.

Et les obfuscateurs qui trainent sur le net pour flash ont leur limite...
Rahh !! Je crois que la seule solution est de bloquée le fichier php et autorisée seulement une autre page web du site à y accéder.
Mais comment faire ?

duncanre · 03/10/2008, 11h35

Avec les fichier .htaccess tu dois pouvoir faire de la restriction d'accès sur IP Source, à exclure, puisque l'IP appellante va être celle du poste executant ton appli.

Après tu peux essayer de jouer sur les variables referer/client/et autres Global que tu recupères côté serveur/PHP ça nécessite un peu plus de forge au niveau de la requête, mais effectivement, il n'est pas possible d'obtenir beaucoup plus.

Après tu peux aussi tout simplement essayer de demander à tes utilisateurs de s'inscrire/s'authentifier sur ton appli.

Cheers,

19/03/2006, 23h01	#1
stailer Membre Expert Jean-François CAMBOT Développeur informatique Inscription : mars 2003 Messages : 839 Détails du profil Informations personnelles : Nom : Jean-François CAMBOT Âge : 34 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : mars 2003 Messages : 839 Points : 1 104 Points : 1 104	[Outil] [NUSOAP] Autorisations d'accès Bonjour, j'utilise en .net et flash mx un web service que j'ai développé en php, avec nusoap. Le problème c'est que ce web service est accessible à quiconque trouvera la page php qui produit le wsdl. Donc voilà ma question : comment définir des autorisations dans un web service crée avec nusoap ? 1ère solution : utiliser des variables get pour appeller la page php, mais bon... C'est loin d'être sécuritaire. Merci pour vos réponses, __________________ .o0o__St@iLeR__oOo. Chef de projet / Développeur Silverlight / ASP.NET MVC - MCP ASP.NET 4 Zend Framework / Ajax (Jquery et ExtJS) Adobe Flash Builder (Flex) Ma librairie pour faire communiquer PHP et Silverlight "à la" WCF : http://code.google.com/p/phpservices-silverlight/
	00

19/03/2006, 23h31	#2
stailer Membre Expert Jean-François CAMBOT Développeur informatique Inscription : mars 2003 Messages : 839 Détails du profil Informations personnelles : Nom : Jean-François CAMBOT Âge : 34 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : mars 2003 Messages : 839 Points : 1 104 Points : 1 104	question stupide, il suffit de définir un paramètre dans les fonctions appellées et d'envoyer un mot de passe, à vérifier dans la base de données par exemple. __________________ .o0o__St@iLeR__oOo. Chef de projet / Développeur Silverlight / ASP.NET MVC - MCP ASP.NET 4 Zend Framework / Ajax (Jquery et ExtJS) Adobe Flash Builder (Flex) Ma librairie pour faire communiquer PHP et Silverlight "à la" WCF : http://code.google.com/p/phpservices-silverlight/
	00

20/03/2006, 00h10	#3
stailer Membre Expert Jean-François CAMBOT Développeur informatique Inscription : mars 2003 Messages : 839 Détails du profil Informations personnelles : Nom : Jean-François CAMBOT Âge : 34 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : mars 2003 Messages : 839 Points : 1 104 Points : 1 104	Quoi que la question n'est pas si con... Car même avec un paramètre, on peut récupérer et décompiler le flash, et du coup avoir le mot de passe. Et les obfuscateurs qui trainent sur le net pour flash ont leur limite... Rahh !! Je crois que la seule solution est de bloquée le fichier php et autorisée seulement une autre page web du site à y accéder. Mais comment faire ? __________________ .o0o__St@iLeR__oOo. Chef de projet / Développeur Silverlight / ASP.NET MVC - MCP ASP.NET 4 Zend Framework / Ajax (Jquery et ExtJS) Adobe Flash Builder (Flex) Ma librairie pour faire communiquer PHP et Silverlight "à la" WCF : http://code.google.com/p/phpservices-silverlight/
	00

03/10/2008, 11h35	#4
duncanre Invité de passage Inscription : octobre 2008 Messages : 1 Détails du profil Informations forums : Inscription : octobre 2008 Messages : 1 Points : 1 Points : 1	Avec les fichier .htaccess tu dois pouvoir faire de la restriction d'accès sur IP Source, à exclure, puisque l'IP appellante va être celle du poste executant ton appli. Après tu peux essayer de jouer sur les variables referer/client/et autres Global que tu recupères côté serveur/PHP ça nécessite un peu plus de forge au niveau de la requête, mais effectivement, il n'est pas possible d'obtenir beaucoup plus. Après tu peux aussi tout simplement essayer de demander à tes utilisateurs de s'inscrire/s'authentifier sur ton appli. Cheers,
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email