Discussion :

[Ender33]

Bonjour,

Actuellement nous sommes en train de concevoir un projet de grande ampleur. Il s'agit d'un jeu en ligne par navigateur qui sera (pour le moment) accessible de deux façons :
- via un navigateur web : il s'agira en fait d'un client JS pour une application full AJAX (donc l'UI sera gérée par le JS).
- via une application iPhone (donc l'UI sera gérée par l'application elle même).

Entre les deux applications, la logique métier ne change pas d'un poil donc, selon moi (je me trompe peut-être), le top serait de créer un webservice (si possible en standard comme REST ou RESTful) capable d'effectuer toutes les opérations.
Mais je me heurte à un souci : l'authentification et la gestion de l'identité de l'utilisateur. En effet, mon utilisateur doit obligatoirement être authentifié pour effectuer certaines actions.

J'ai pu voir WS-Security, mais visiblement il faut que les passwords soient stockés en clair sur le serveur, ce qui est clairement exclus !
J'ai aussi entendu parler de tout un tas de façons mais je m'y perds un peu et ne sais pas ce qui est fiable ou ne l'est pas.

Je précise que j'utilise Symfony2 pour la partie backend et jQuery pour la partie client JS.
Par ailleurs, j'aimerais vraiment une réponse détaillée pas-à-pas parce que je m'y perds vraiment là entre tout ce que j'ai pu lire.

Merci à vous de m'avoir lu. J'espère que certains sauront me répondre, c'est assez urgent.
Bonne journée.

[bendede]

Je n'ai pas le temps de te faire une réponse longue mais, ayant à l’étude un projet avec le même besoin, je peux te renvoyer vers une ressource intéressante : http://www.thebuzzmedia.com/designin...uthentication/

La solution la plus simple étant apparemment d'utiliser le HTTPS : http://www.thebuzzmedia.com/designin...comment-269282

[Ender33]

Hello,

Merci de ta réponse.
Ce principe est assez proche de WSSE au final.

Aurais-tu des exemples d'implémentation en PHP ? Du code me parle en général plus facilement qu'une tonne de texte.

Merci encore !

[david42]

Salut,

Je suis dans un cas similaire au tien.
J'ai trouvé une solution qui me convient, peut être qu'elle peut marcher pour toi aussi.

Du coté de l'appli qui fournit les WS rest j'ai créé un firewall spécial pour les routes WS. Ce firewall s'appuie sur une authentification http.

Dans mon cas j'ai testé 2 clients :
1 client PHP qui utilise CURL avec l'option "CURLOPT_USERPWD"
1 client JAVA qui utilise jersey avec un filtre "HTTPBasicAuthFilter"

Un utilisateur se connecte et s'authentifie sur un client avec n'importe quelle méthode d'authentification, une fois connecté l'appli cliente sait ou chercher la clef de l'utilisateur connecté pour pouvoir consommer les WS.