Discussion :

[jejeman]

Bonjour,
J'ai une application web qui tourne en PHP+MySQL avec le framework symfony2.
les utilisateurs se connectent sur le portal et peuvent faire un certain nombre de chose.
On me demande de réaliser une version mobile "limitée" de cette application sous android.
En gros l'application mobile serait une interface "light" supplémentaire à mon application.
Du coup dans mon appli symfony j'ai commencé à mettre en place un bundle REST qui va me permettre de renvoyer des informations en JSON.
De l'autre côté j'ai commencé à regarder sous android comment récupérer ses infos pour les afficher. A priori ça fonctionne.
Maintenant ma question est la suivante : comment sécuriser ces échanges ? en gros quand mon user sur mon appli android va faire un getMesDonnees, il faudrait passer un login et un password dans la requete pour que il ne voit que ses données ? Et si n'importe qui connait l'url, il peut accéder à n'importe quel information comme ça...?
Bref comment feriez vous cela ?
Merci.

[MrDuChnok]

Salut,
la sécurité est jamais un truc banal et applicable partout simplement.
Tu as regardé du coté de https & gestion des certificats / clé PKI ?

[jejeman]

Merci de ton retour.
J'avais pensé à passé login et password encodé dans les URL, mais bon, un simple man in the middle et c'est mort. Après on peut passer en HTTPS pour sécuriser un peu mais c'est pas encore parfait...
Sinon je penchais vers un échange de jeton, comme on pourrait faire en PHP avec les cookies de session et j'ai vu quelque chose qui m'intéresse qui est le protocole OAuth2
Et là je me dis que ça peut répondre à mon besoin, reste à bien comprendre les principes et à les mettre en place....
Qu'en pensez-vous ?

[MrDuChnok]

Oui, ça peut être aussi une bonne solution à mettre en place.