Discussion :

[olive_le_malin]

Bonjour,

je recherche la solution la + sécurisée possible pour qu'un client s'authentifie sur un serveur et récupère ses droits utilisateurs.
En fonction de ses droits utilisateurs il aura accès à certains options des pages.

J'ai un client léger qui se connecte sur un serveur apache + MySQL

Quelle solution / conception irait le mieux ?

J'avais pensé à un truc de ce style :
- stocker dans la BDD les mots de passe cryptées en SHA-1
- Au moment de l’authentification du client les données user / pswd sont envoyées cryptées au serveur,
- Le serveur les décrypte, vérifie les droits associés, et renvoie une trame cryptée contenant les droits
- Le client décrypte la trame, et s'affecte ses droits.
- En fonction des droits de l’utilisateur les IHM seront mises à jour.

Ou alors utiliser carrément du https ?

@+

[mathieu]

Ou alors utiliser carrément du https ?

pourquoi pas, en utilisant HTTPS, tu as un "tunnel" dans lequel passe les communication entre le client et le serveur et donc ça t'évite déjà de devoir chiffrer ça
ensuite il en te reste plus qu'à faire en sorte que n'importe qui ne puisse pas se connecter directement sur ton serveur