Discussion :

[Nadinette]

Bonjour,

J'espère que ceux qui sont ou reviennent de vacances ont bien kiffé et toutes mes condoléances aux autres.

Mon boss me demande de chiffrer un serveur oAuth 2.0 oWin avec ASP.net mvc

J'ai bien trouvé l'exemple tout fait sur le site de microsoft : http://www.asp.net/aspnet/overview/o...ization-server

De prime abord je ne trouve pas ça super compliqué mais j'ai peur qu'il y ait des coûts cachés.

J'estime la réalisation de ce serveur (avec une petite interface d'administration) à 15 jh soit 3 semaines ouvrées (hors déploiement client final, sachant qu'on a déjà un certificat SSL *)

Ca vous parait réaliste ?

Merci

[DotNetMatt]

Si tu as deja de l'experience avec OWIN et OAuth, tu peux facilement doubler ce chiffrage. Le code fourni ne fonctionne pas directement et les ajustements ne sont pas toujours aises. Et si tu as des choses particulieres a faire, tu peux te retrouver face a des situations ou tu ne sais pas ou et a quel moment realiser une action... Il y a des bugs avec les cookies dans certaines situations et il n'est pas facile de les contourner.

Si tu n'as jamais implemente OAuth et OWIN, je te conseille de le tripler (au moins), car ce n'est pas facile a prendre en main et il n'y a pas enormement de documentation sur le web.

Selon la criticite de ton projet, il faut aussi prevoir des tests de securite a la fin (type pen test), car si tu developpes ton propre serveur OAuth, il faut absolument t'assurer qu'il n'y a pas de faille de securite. Si tu n'es pas experimentee sur le sujet, tu auras vite fait d'introduire des failles malgre ta volonte...

Tu peux regarder ce projet qui a le merite d'etre robuste et bien developpe : https://github.com/IdentityModel/AuthorizationServer