IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Services Web Java Discussion :

[JAX-WS] Comment sécuriser des Web Services JAX-WS?


Sujet :

Services Web Java

  1. #1
    Membre régulier Avatar de solawe
    Inscrit en
    Juillet 2006
    Messages
    368
    Détails du profil
    Informations personnelles :
    Âge : 38

    Informations forums :
    Inscription : Juillet 2006
    Messages : 368
    Points : 97
    Points
    97
    Par défaut [JAX-WS] Comment sécuriser des Web Services JAX-WS?
    Bonjour,

    je voulais avoir des idées sur comment puis je procéder pour sécuriser mes Web Services que j'ai implémenté via JAX-WS.

    Merci d'avance.

  2. #2
    oca
    oca est déconnecté
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2004
    Messages
    354
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : Suisse

    Informations forums :
    Inscription : Octobre 2004
    Messages : 354
    Points : 421
    Points
    421
    Par défaut
    par "sécuriser" tu veux parler d'authentification, d'encryptage ou de signature ?
    ou des trois
    A+

  3. #3
    Membre régulier Avatar de solawe
    Inscrit en
    Juillet 2006
    Messages
    368
    Détails du profil
    Informations personnelles :
    Âge : 38

    Informations forums :
    Inscription : Juillet 2006
    Messages : 368
    Points : 97
    Points
    97
    Par défaut
    je connais pas la différence entre encryptage et signature.

    peux tu stp m'expliquer les 3?

  4. #4
    oca
    oca est déconnecté
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2004
    Messages
    354
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : Suisse

    Informations forums :
    Inscription : Octobre 2004
    Messages : 354
    Points : 421
    Points
    421
    Par défaut
    l'authentification, c'est le fait de prouver son identité, par exemple à un fournisseur de service. il y a plusieurs possibilité de prouver qui l'on est :
    un mot de passe par exemple est un exemple courant mais cela peut être plus subtile (et plus compliqué) comme par exemple, un challenge/réponse ou une authentification par empruntes digitales ou rétiniennes.

    L'encryptage protège le contenu d'une conversion, au cas ou un intervenant viendrait "écouter" ce qui se passe sur le réseau (avec un soft comme ethereal par ex.). elle peut se faire au niveau transport (https) ou au niveau du message, voir d'une partie de message. l'encryptage protège la confidentialité des donnée.
    on peut utiliser des clés de cryptages symétriques ou asymétrique

    La signature permet de garantir que le message n'a pas été manipulé par un intermédiaire, en utilisant un hash (comme sha) puis en encryptant celui-ci avec un principe de clé public/privée (pki)

    bon c'est un peu rapido, mais en gros, c'est ça...

    Je te recommande vivement le livre suivant :
    http://www.manning.com/kanneganti/

    A+

  5. #5
    oca
    oca est déconnecté
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2004
    Messages
    354
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : Suisse

    Informations forums :
    Inscription : Octobre 2004
    Messages : 354
    Points : 421
    Points
    421
    Par défaut
    Arfff... j'oublie un des plus important... L'autorisation (à ne pas confondre avec l'authentification)

    l'authentification : on contrôle que le user est bien qui il prétend être (en vérifiant qu'il connait son mot de passe par exemple)

    l'authorisation : on regarde les actions autorisées pour ce user et les ressources auxquelles il a accès (ACL, RBAC...)

  6. #6
    Membre émérite
    Avatar de alexismp
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    1 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Janvier 2005
    Messages : 1 503
    Points : 2 777
    Points
    2 777
    Par défaut
    pour sécuriser avec JAX-WS, regarde du coté de Metro et de sa documentation. En 2 mots, il s'agit d'enrichir le WSDL avec de assertions WS-Policy. Pas de nouvelle API à utiliser.

  7. #7
    Membre régulier Avatar de solawe
    Inscrit en
    Juillet 2006
    Messages
    368
    Détails du profil
    Informations personnelles :
    Âge : 38

    Informations forums :
    Inscription : Juillet 2006
    Messages : 368
    Points : 97
    Points
    97
    Par défaut
    Bonjour,

    Merci beaucoup oca pour tes explications,c'est vraiment gentil de ta part.
    merci aussi pour alexismp pour l'information.

    Je vous tiendrai au courant de mon etat d'avancement en ce sujet.

    Bonne Journée

Discussions similaires

  1. Comment sécuriser un Web Service ?
    Par zino developer dans le forum Services Web
    Réponses: 6
    Dernier message: 11/04/2014, 21h24
  2. sécuriser des Web Services avec XKMS
    Par erikayred dans le forum Services Web
    Réponses: 1
    Dernier message: 23/01/2010, 01h02
  3. sécurisation des web-service sous .net
    Par hackeddb dans le forum Windows Communication Foundation
    Réponses: 1
    Dernier message: 08/07/2009, 17h56
  4. Comment implémenter des Web Services asynchrones?
    Par solawe dans le forum Services Web
    Réponses: 7
    Dernier message: 15/05/2008, 17h03
  5. Réponses: 3
    Dernier message: 08/03/2007, 11h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo