Discussion :

[ssimplice]

Bonsoir,
je suis entrain d'implémenter une solution basée sur des services web type restful. Pour protéger l'accès à mes services web j'utilise une authentification basic avec un realm tout garantissant la confidentialité du transport par HTTPS. Ces services web sont utilisés par des clients (web jsf, android).
Il se trouve que je veux implémenter la création de compte utilisateurs à travers un client web. La page web utilisée étant accessible publiquement, j'implémente un captcha et un one time password basé sur le sms pour vérifier que l'utilisateur n'est pas un robot et qu'il est bel et bien l'auteur du compte en création. Le problème est qu'après avoir vérifié tout cela je dois appeler un service web pour créer le compte de l'utilisateur. Si le service de création du compte n'est pas protégé je suppose qu'il peut être utilisé pour attaquer mon système. S'il l'est ma requête de création par un post échouera forcement. Je demande à ceux qui ont des idées pour me permettre de réaliser cette opération en toute sécurité de ne pas hésiter.
Cordialement, Simplice

[ssimplice]

Bonsoir,
Au jour d'aujourd'hui je suis arrivée à la solution suivante :
- Pour sécuriser mes services web : jdbc-realm, authentification basic, transport https.
- Pour simuler une création d'un compte par un utilisateur non préalablement connu dans ma base de données, j'ai créé un profil anonyme et un code utilisateur correspondant à qui j'autorise cette action. Donc dans mes clients je fourni le code utilisateur et le mot de passe à mes développeurs. J'utilise aussi re-captcha de google pour certifier mes pages web. Ça marche bien mais est ce cela est sans gros risque?
Merci.