Bonsoir,
je suis entrain d'implémenter une solution basée sur des services web type restful. Pour protéger l'accès à mes services web j'utilise une authentification basic avec un realm tout garantissant la confidentialité du transport par HTTPS. Ces services web sont utilisés par des clients (web jsf, android).
Il se trouve que je veux implémenter la création de compte utilisateurs à travers un client web. La page web utilisée étant accessible publiquement, j'implémente un captcha et un one time password basé sur le sms pour vérifier que l'utilisateur n'est pas un robot et qu'il est bel et bien l'auteur du compte en création. Le problème est qu'après avoir vérifié tout cela je dois appeler un service web pour créer le compte de l'utilisateur. Si le service de création du compte n'est pas protégé je suppose qu'il peut être utilisé pour attaquer mon système. S'il l'est ma requête de création par un post échouera forcement. Je demande à ceux qui ont des idées pour me permettre de réaliser cette opération en toute sécurité de ne pas hésiter.
Cordialement, Simplice
Partager