Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Authentification Web Service
Bonjour
j'ai une petite question concernant un web service.
Je souhaite héberger un petit web service(une fonction) WCF/REST sous IIS.
Cependant je souhaite que l'accès à ce service soit un minimum sécurisé.
Quelles solution s'offrent à moi (authentification IIS, au niveau du service....) sachant que ce service ne sera pas appelé en .NET et qu'il sera appelé par une application et un utilisateur hors domaine.
Hello,
Bienvenue sur le forum !
Puisque l'utilisateur n'est pas dans le domaine, a priori tu ne pourras pas utiliser l'authentification intégrée Windows, qui se fait à partir de IIS vers un Active Directory et qui est transparent pour ton application puisqu'elle s'intéresse à l'accès au répertoire de ton serveur il me semble... mais puisque tu ne peux pas je ne m’étendrai pas.
Dans ton cas il faut que tu fasses de l'authentification implicite, soit intégrée à IIS soit pas.
Cela dépend de comment tu veux gérer tes droits en fait.
Si l'utilisateur n'est pas dans la base, j'imagine que ça sera fait via une base de données dédiées plutôt que via un AD ? Ou alors gérer les droits dans l'appli émettrice avec simplement un compte "technique" pour l'application (dans ce cas tu déportes la gestion des droits en amont).
Dans ce cas tu serais sur une solution "artisanale", avec une gestion (ou pas) de cookie au niveau de ton client.
One minute was enough, Tyler said, a person had to work hard for it, but a minute of perfection was worth the effort. A moment was the most you could ever expect from perfection.
-- Chuck Palahniuk, Fight Club, Chapter 3 --
Vu que c'est du WCF/REST la solution que je propose est l'utilisation de HTTPS en passant les identifiants dans les entêtes http.Envoyé par Lydéric
j'aime bien l'idée... pourrais-tu me montrer comment mettre ça en oeuvre coté client, service et IIS ?
En gros, les etapes (sans ordre précis)
- configurer IIS pour utiliser SSL
- Créer un UserNamePasswordValidator qui va valider le user
- Changer le binding pour mettre le securitymode en TransportWithMessageCredential
- changer le behavior pour lui dire d'utiliser le UserNamePasswordValidator
- côté client, envoyer ton user/password dans les credential.
J'espère ne rien avoir oublié.
Ou alors, plus simple, tu ajoute 2 nouveaux parametres à ton service (User et Password) et tu fais le check dans le service lui-même (Mais ne repete pas que c'est moi qui ai dit ça, je tiens à ma réputation)
Microsoft MVP : Windows Platform
MCPD - Windows Phone Developer
MCPD - Windows Developer 4
http://www.guruumeditation.net
“If debugging is the process of removing bugs, then programming must be the process of putting them in.”
(Edsger W. Dijkstra)
rien à ajouter
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager