[Sécurité] Accès par l'utilisateur à ses données mais pas aux autres.

Samysam25 · 02/05/2007, 15h45

Bonjour,
Voilà je dois faire un site qui répertorie des concessions. J'utilise donc pour celà une base de données MySQL.
Je dois donner accès aux concessionaires pour qu'ils puissent modifier les infos de leur concession. Pour celà, je dois faire une page d'identification (login, mot de passe). Sachant qu'un concessionaire peut avoir plusieurs concession à gérer. Et donc je voudrais faire en sorte que lorsqu'un concessionaire se connecte, il est le choix de modifier n'importe laquelle de ses concessions.
J'aimerai donc savoir quel moyen utiliser pour l'identification d'un concessionaire. Dois-je créer une table CONCESSIONAIRE avec les champs login, passWord ? Est-ce assez sécurisé ou y a t-il d'autres moyens ?
Merci

Raideman · 02/05/2007, 17h14

savoir ou tu vas stocker tes logins passwords est un problème différent de la manière dont tu vas gérer les accès.

En fait, le fait de stocker en SQL tes mots de passe n'est pas garant de la sécurité de ton appli.

Le sujet de l'authentification est traité en post it sur ce forum, et couvre notamment les méthodes à mettre en place (cookie, sessions, codage etc) selon le niveau de sécurité désirée.

De l'extérieur, je dirai que dans ton cas oui, il faut bien une table utilisateur (avec login mdp etc) et chaque utilisateur a des droits sur tel ou telle fonctionnalité. Par exemple une concession possède un et un seul administrateur utilisateur. Un administrateur par contre peut gérer plusieurs concessions donc concessions doit contenir une clé étranère administrateur_id.

Ca c'est pour la conception.

Dans le déploiement de la sécurité, je choisirai dans ton cas (mais chaque cas est unique et ce que je dis n'est donc pas une vérité!), de crypter les mots de passe dans la base de données, de gérer des sessions et puis voila.

Comme je le disais, la sécurité à mettre en oeuvre dépend des réels besoin des utilisateurs, du temps imparti pour le projet, des moyens et des compétences disponibles (par exemple, développer un système de certificat pour ce genre d'applications ne serait pas très adapté, j'éxagère mais c'est pour l'exemple).

Raideman · 02/05/2007, 17h15

Tiens je t'ai retrouvé le lien qui traite des accès membres:
http://www.developpez.net/forums/d12254/php/langage/sessions/securite-securite-totale-espace-membre/

02/05/2007, 15h45	#1
Samysam25 Invité de passage Étudiant Inscription : avril 2007 Messages : 26 Détails du profil Informations personnelles : Âge : 30 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : avril 2007 Messages : 26 Points : 2 Points : 2	[Sécurité] Accès par l'utilisateur à ses données mais pas aux autres. Bonjour, Voilà je dois faire un site qui répertorie des concessions. J'utilise donc pour celà une base de données MySQL. Je dois donner accès aux concessionaires pour qu'ils puissent modifier les infos de leur concession. Pour celà, je dois faire une page d'identification (login, mot de passe). Sachant qu'un concessionaire peut avoir plusieurs concession à gérer. Et donc je voudrais faire en sorte que lorsqu'un concessionaire se connecte, il est le choix de modifier n'importe laquelle de ses concessions. J'aimerai donc savoir quel moyen utiliser pour l'identification d'un concessionaire. Dois-je créer une table CONCESSIONAIRE avec les champs login, passWord ? Est-ce assez sécurisé ou y a t-il d'autres moyens ? Merci
	00

02/05/2007, 17h14	#2
Raideman Membre Expert Inscription : octobre 2002 Messages : 1 141 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : octobre 2002 Messages : 1 141 Points : 1 204 Points : 1 204	savoir ou tu vas stocker tes logins passwords est un problème différent de la manière dont tu vas gérer les accès. En fait, le fait de stocker en SQL tes mots de passe n'est pas garant de la sécurité de ton appli. Le sujet de l'authentification est traité en post it sur ce forum, et couvre notamment les méthodes à mettre en place (cookie, sessions, codage etc) selon le niveau de sécurité désirée. De l'extérieur, je dirai que dans ton cas oui, il faut bien une table utilisateur (avec login mdp etc) et chaque utilisateur a des droits sur tel ou telle fonctionnalité. Par exemple une concession possède un et un seul administrateur utilisateur. Un administrateur par contre peut gérer plusieurs concessions donc concessions doit contenir une clé étranère administrateur_id. Ca c'est pour la conception. Dans le déploiement de la sécurité, je choisirai dans ton cas (mais chaque cas est unique et ce que je dis n'est donc pas une vérité!), de crypter les mots de passe dans la base de données, de gérer des sessions et puis voila. Comme je le disais, la sécurité à mettre en oeuvre dépend des réels besoin des utilisateurs, du temps imparti pour le projet, des moyens et des compétences disponibles (par exemple, développer un système de certificat pour ce genre d'applications ne serait pas très adapté, j'éxagère mais c'est pour l'exemple). __________________ http://www.cimbat.com Mes contributions pour developpez.com Construire un calendrier dynamique avec AJAX conseil juridique en ligne
	00

02/05/2007, 17h15	#3
Raideman Membre Expert Inscription : octobre 2002 Messages : 1 141 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : octobre 2002 Messages : 1 141 Points : 1 204 Points : 1 204	Tiens je t'ai retrouvé le lien qui traite des accès membres: http://www.developpez.net/forums/d12254/php/langage/sessions/securite-securite-totale-espace-membre/ __________________ http://www.cimbat.com Mes contributions pour developpez.com Construire un calendrier dynamique avec AJAX conseil juridique en ligne
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email