Bonjour ,
J'ai travaillé sur des web servies Axis en Java . Pendant les entretiens on me pose la question , comment avez vous géré la sécurité des Web services ? c'est quoi les réponses possibles à cette question ?
Merci
Bonjour ,
J'ai travaillé sur des web servies Axis en Java . Pendant les entretiens on me pose la question , comment avez vous géré la sécurité des Web services ? c'est quoi les réponses possibles à cette question ?
Merci
Il n'y a pas des réponses possibles. Il n'y en a qu'une : celle qui correspond a ce qui a été fait sur le projet.
Vous étiez seul à travailler sur le projet ou plusieurs ? Si vous étiez plusieurs, quelqu'un sur le projet a peut être la réponse.
ok
Je n'ai plus de contact avec la personne qui a fait ça.
Donc la question est générale , comment on gère la sécurité d'un web service.
1) Authentification
basis, digest, par cetificat, ....
2) Autorisation
tu crées les rôles et Autorisations dans ton serveur : jboss, etc...
par annotation:
programmation:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 @RolesAllowed({"ADMIN", "CLIENT"}) public class ClientResource { @GET @Path("{id}") @Produces("application/xml") public Client getClient(@PathParam("id") int id) {...}
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 public Client getClient(@Context SecurityContext sec) { } } if (sec.isSecure() && !sec.isUserInRole("ADMIN")) { logger.log(sec.getUserPrincipal() + " accessed customer database."); } etc...
3) cryptage des échanges: https
jette aussi un oeil sur OAuth
merci ,
Mais le code que t'as mis c'est pour quel framework de web services ?
On parle de apache rampart coté Axis2 , et WSS4J coté CXF , se sont des implémentations de WS-Security.
pas de framework, API jax-RS en Jee6 et jee7
http://docs.oracle.com/javaee/7/tuto...axrs.htm#GIEPU
la façon de faire est la même avec Spring (il y a quelques différences dans le code)
Doc de base sur les web service, la sécurité etc...:
http://docs.oracle.com/javaee/7/tuto...svcs.htm#BNAYK
Pour le HTTPS tu peux aussi parler des keystore/truststore qui servent a faire une double identification
http://www.developpez.net/forums/d10...re-truststore/
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager