Sécurité des Web Services

**scratch_1** · 05/03/2014, 11h01

Bonjour ,
J'ai travaillé sur des web servies Axis en Java . Pendant les entretiens on me pose la question , comment avez vous géré la sécurité des Web services ? c'est quoi les réponses possibles à cette question ?

Merci

**florentB** · 05/03/2014, 11h29

Il n'y a pas des réponses possibles. Il n'y en a qu'une : celle qui correspond a ce qui a été fait sur le projet.
Vous étiez seul à travailler sur le projet ou plusieurs ? Si vous étiez plusieurs, quelqu'un sur le projet a peut être la réponse.

**scratch_1** · 05/03/2014, 13h39

ok

Je n'ai plus de contact avec la personne qui a fait ça.

Donc la question est générale , comment on gère la sécurité d'un web service.

**plawyx** · 05/03/2014, 13h55

Envoyé par scratch_1

ok

comment on gère la sécurité d'un web service.

1) Authentification

basis, digest, par cetificat, ....

2) Autorisation

tu crées les rôles et Autorisations dans ton serveur : jboss, etc...

par annotation:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
@RolesAllowed({"ADMIN", "CLIENT"})
public class ClientResource {
@GET
@Path("{id}")
@Produces("application/xml")
public Client getClient(@PathParam("id") int id) {...}

programmation:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
public Client getClient(@Context SecurityContext sec) {
}
}
if (sec.isSecure() && !sec.isUserInRole("ADMIN")) {
logger.log(sec.getUserPrincipal() +
" accessed customer database.");
}
etc...

3) cryptage des échanges: https

jette aussi un oeil sur OAuth

**scratch_1** · 05/03/2014, 14h09

merci ,
Mais le code que t'as mis c'est pour quel framework de web services ?
On parle de apache rampart coté Axis2 , et WSS4J coté CXF , se sont des implémentations de WS-Security.

**plawyx** · 05/03/2014, 17h12

Envoyé par scratch_1

merci ,
Mais le code que t'as mis c'est pour quel framework de web services ?

pas de framework, API jax-RS en Jee6 et jee7

http://docs.oracle.com/javaee/7/tuto...axrs.htm#GIEPU

la façon de faire est la même avec Spring (il y a quelques différences dans le code)

Doc de base sur les web service, la sécurité etc...:

http://docs.oracle.com/javaee/7/tuto...svcs.htm#BNAYK

**rockley** · 12/03/2014, 16h13

Pour le HTTPS tu peux aussi parler des keystore/truststore qui servent a faire une double identification

http://www.developpez.net/forums/d10...re-truststore/

Sécurité des Web Services

Services Web Java

Discussions similaires

Partager

Partager