BOnjour a tous,
J'ai dévellopé une petite app géoportail avec OpenLayers 3 (OL3) avec une clef API de développement (qui marche avec un serveur Localhost uniquement). Maintenant je souhaite déployer mon site sur un serveur distant mais avant de paser a cette étape, je me pose la question de savoir comment sécuriser ma CLEF API.
En effet, pour l'instant elle est directement envoyé dans le javascript du client pour qu'il puisse avoir un acces au service WMTS avec OL3. On peut résumer ca avec le schéma ci dessous:
Méthode A: (que j'utilise actuellement)
J'aimerais savoir si cela peut fonctionner avec une clef API valable pour un serveur distant et si cela ne constitue pas une faille de sécurité. Par exemple un utilisateur malintentionné pourrait copier coller la clef du code source de et l'utiliser personnellement pour envoyer un grand nombre de requette ce qui pourrait bloquer l'acces au service pour tous les autres utilisateurs. Je me demande donc:
1) Si j'ai bien compris le fonctionement du service WMTS et si cette menace en est vraiment une
2) Si il existe une façon de rendre mon serveur comme simple intermédiaire qui aurait lui même une sécurité pour filtrer les requêttes avant de les envoyer au service Géoportail comme j'ai essayé de le représenter sur le schéma suivant:
Méthode B: Est-elle utile ? Si oui, comment la mettre en oeuvre sur pour le service WMTS ?
Merci d'avance à ceux qui m'aideront.
Partager