Discussion :

[The Gamer]

BOnjour a tous,

J'ai dévellopé une petite app géoportail avec OpenLayers 3 (OL3) avec une clef API de développement (qui marche avec un serveur Localhost uniquement). Maintenant je souhaite déployer mon site sur un serveur distant mais avant de paser a cette étape, je me pose la question de savoir comment sécuriser ma CLEF API.

En effet, pour l'instant elle est directement envoyé dans le javascript du client pour qu'il puisse avoir un acces au service WMTS avec OL3. On peut résumer ca avec le schéma ci dessous:

Méthode A: (que j'utilise actuellement)




J'aimerais savoir si cela peut fonctionner avec une clef API valable pour un serveur distant et si cela ne constitue pas une faille de sécurité. Par exemple un utilisateur malintentionné pourrait copier coller la clef du code source de et l'utiliser personnellement pour envoyer un grand nombre de requette ce qui pourrait bloquer l'acces au service pour tous les autres utilisateurs. Je me demande donc:

1) Si j'ai bien compris le fonctionement du service WMTS et si cette menace en est vraiment une

2) Si il existe une façon de rendre mon serveur comme simple intermédiaire qui aurait lui même une sécurité pour filtrer les requêttes avant de les envoyer au service Géoportail comme j'ai essayé de le représenter sur le schéma suivant:

Méthode B: Est-elle utile ? Si oui, comment la mettre en oeuvre sur pour le service WMTS ?



Merci d'avance à ceux qui m'aideront.

[Jimmy_]

Bonjour,

Tu as du déclarer ton mode de sécurisation : En principe c'est ton domaine ou un sous-domaine.
Geoportail valide ton API Key seulement si la requête proviens de ton serveur.
Ton api key ne peut pas être reprise pour faire autre chose.

[cedricici]

Bonjour,


Ton schéma n'est pas tout à fait juste, les clients font directement leur requêtes sur les serveurs du géoportail, l'API key est sécurisée pour que seule ton application soit autorisée à effectuer ces requêtes.

Peux tu me donner ton API Key en Message Privé que je vérifie le type de sécurisation de ta clé?



Cédric

[The Gamer]

Merci pour vos réponses,

@Jimmy_ : Oui je suis d'accord avec toi car il faut effectivement donner un nom de domaine pour acquérir un clef API depuis géoportail. Donc normalement, la clef est censée uniquement être utilisée du coté serveur. Mais dans le projet d'exemple (js/quickstart.js) disponible sur le site de géoportail, la clef apparait coté client. Je ne comprends donc pas très bien comment ca marche...

@cedricici : Pour l'instant j'ai une clef de développement donnée gratuitement et valable 3 mois. Je ne vois pas trop l'interet de te donner ma clef, par contre je peux éventuellement poster un résultat renvoyé aprèsune requêtte demandant la configuration de ma clef.

[cedricici]

@Jimmy_ : ... Donc normalement, la clef est censée uniquement être utilisée du coté serveur...

La requête est effectuée sur le client, à partir d'un script qui vient (initialement) de ton serveur. L'origine de ton script c'est le "REFERER", c'est cette donnée qui est fournit dans la requête du client et qui permet de sécuriser la clé (entre autre) .

@cedricici : Pour l'instant j'ai une clef de développement donnée gratuitement et valable 3 mois. Je ne vois pas trop l'interet de te donner ma clef, par contre je peux éventuellement poster un résultat renvoyé aprèsune requêtte demandant la configuration de ma clef.

Je peux regarder dans la base des clé API quel "REFERER" et/ou quel mode de sécurisation est déclaré lors de la demande de clé, c'est juste pour ça.



Cédric