Bonjour,
Je viens vers vous car je bloque sur la sécurisation d'un webservice.
Contexte : je crée une appli web avec VS 2010 qui permet via un webservice de communiquer avec une application Windows. Je peux utiliser les méthodes publiées via la webservices et faire des opérations CRUD sans aucun problèmes. J'en suis à l'étape de sécurisation du webservice. C'est là que je bloque.
J'ai cherché longuement sur la toile pour savoir comment bien sécuriser un webservice. Comme réponse, j'ai trouvé :
- utilisation d'un soapheader dans lequel on passe le username et le password
- génération d'un token
- cryptage username et password via HTTPS SSL.
En pratique, je ne vois pas très bien comment procéder et quelles sont les principales étapes.
Tout d'abord je suppose que je peux utiliser le form d'authentification crée par défaut par VS2010. Voici comment je vois les choses mais à vous de me corriger.
1) le user clique sur log in,
2) le username et password sont sauvés dans le header (headersoap) ainsi qu'un token généré par GUID.
3) Ces 3 infos sont sauvés en BDD.
4) vérification si le user à le droit d'accéder aux méthodes du webservice
5) affiche des infos demandés par le user.
Mes questions :
1) les étapes vous semblent-elles cohérentes ?
2) Si je pars du principe que je stocke mes users dans une DB SQL , dois-je changer quelque chose dans le webconfig afin que le check du couple username, password se fasse au sein de ma DB sql et non au sein de la DB ASPNET.MDF généréee par VS 2010 ?
3) dois-je mettre defaultcredentials à false dans mon code ?
4) comment être sûr que mon username, password et token soient bien passés via le header soap ?
Si vous pouviez me mettre sur la voie, ça m'aiderait beaucoup à y voir plus clair.
Je reviendrait alors vers vous avec mes premières lignes de code.
Tout grand merci.
Partager