Discussion :

[Sayrus]

Bonjour,

J'ai actuellement différents web service en REST qui sont opérationnels. La création d'un web service en tant que tel n'est pas un problème.

Par contre, j'ai besoin pour un nouveau projet, d'établir une connexion REST entre un point A et différents points B (B1, B2, B3,...) où chacun d'eux représente un nom de domaine différent.

Voici ce qui va se produire:

1) B(peu importe lequel), envoie une demande POST de création vers A
2) A peut renvoyer aussi des infos vers B

Ma question est comment puis-je mettre en place une sécurité afin que n'importe qui ne puisse pas faire appel à une requête de mon web service ? Sachant que A est en HTTPS et les autres B HTTP.

Merci pour votre aide!

[Sayrus]

Ou bien est-il plus sage de passer par du SOAP ?

[grunk]

1- Webservice accessible uniquement en HTTPS
=> Tant que ce prérequis n'est pas rempli , ca ne sert pas à grand chose d'implémenter autre chose

2- Identification / Authorisation
Pour identifier le client , on utilise généralement une clé API
Si tu as en plus besoin de l'authentifier , on va rajouter un mécanisme qui peux aller du simple HTTP Basic à oauth (1 ou 2)
Lire : https://blog.apigee.com/detail/do_yo..._authorization pour plus de détail


Et un petit pense bête sur les grand principes de sécurité :
https://www.owasp.org/index.php/REST...ty_Cheat_Sheet

[Sayrus]

Merci pour ces précisions.

Alors je pense que je vais devoir faire toutes les requêtes sur le même serveur qui lui sera en HTTPS.

Je ferai une tâche cron qui permettra de tester régulièrement si des infos sont à mettre à jour de l'autre côté.

En fait à partir du moment où j'utilise HTTPS et que je passe une API KEY pour accéder aux services du serveur afin de vérifier si on y est invité et que je vérifie si l'appel se fait toujours sur HTTPS, alors c'est bon vu que SSL va crypter tout ce qui transite en POST (par exemple) ainsi que la API KEY qui pourrait transiter ? Juste non ?

[grunk]

Oui.
La vérification https est inutile , suffit que ton serveur ne réponde pas sur le port 80

[Sayrus]

OK merci Je ne pense pas pouvoir couper un le port 80 sur un mutualisé. C'est pourquoi je dois faire un contrôle.

[Spartacusply]

Tu peux aussi forcer une redirection vers le port 443 de toute demande qui arrive sur le port 80

[Sayrus]

Bonne idée merci