Discussion :

[tolstoy]

Bonjour
Je suis entrain de développer une application java web avec des web services Restful. Maintenant je veux que les échanges des web services soient cryptés. Je voudrais pour cela solliciter votre aide pour savoir comment m'y prendre. Quelles technologies existent et laquelle utilisée?
Merci pour votre aide

[fr1man]

Rest étant basé sur HTTP, tu peux passer par sa version sécurisée à savoir HTTPS.
Acheter un certificat ou le générer toi même pour tes tests, paramétrer ton serveur web ou d'application avec ce certificat et le tour est joué.

[tolstoy]

Merci pour la réponse. Mais cela ne nécessite pas des codes à ajouter à mes web services? Les clients qui appellent mes services n'auront pas d'autres traitements à faire de leur coté?

[Carhiboux]

Salut,

A priori, tu as plusieurs options :

Chiffrer ou non le données.

Passer par un canal en clair (http) ou chiffré (https).

Si tes données sont si sensibles que cela, https seul ne suffit peut être pas. A toi alors de rajouter un cryptage de tes données qui t'es propre. Par exemple, tu peux utiliser AES ou toute autre méthode de ton choix.

Au passage, et sans tomber dans la parano, les données n'en valent peut être pas la peine, mais rien ne garantit qu'à l'heure actuelle l'inviolabilité de HTTPS. Si les données en valent la peine donc les chiffrer AVANT de les balancer sur le réseau peut donc être une bonne idée. Mais cela suppose bien sur que la clé de chiffrage/déchiffrage soit elle même en sécurité.

[tolstoy]

Merci. Mais j'ai besoin d'informations sur les deux questions suivantes:

1-Comment m'y prendre si je décide d'utiliser l'AES? comment je l'implémente dans mes web services?(je rappelle que je développe des services restful)

2-Comment implémenter le système avec HTTPS? (je voudrais comprendre tout le mécanisme)

Merci

[Carhiboux]

Pour AES, tu peux trouver un tuto là : http://jmdoudoux.developpez.com/cours/developpons/java/

J'ai pas regardé dans le détail, mais il me semble que c'est les mêmes classes/packages que ce que j'ai eu l'occasion d'utiliser.


Pour HTTPS, la plupart des conteneurs d'application proposent un mode HTTPS, c'est juste une question de configuration, et de certificat. Sachant que tu peux auto-signer ton certificat, mais dans ce cas, les appelants devront accepter ton certificat (tu sais, la fameuse pop-up "attention, certificat non signé" suivi de "je comprends les risques", etc...).

Maintenant, la question à laquelle tu n'as pas répondu, c'est si tes données valent le coup d'être cryptées.