Discussion :

[Willy55]

Bonjour bonjour, mon grand retour ici pour une question qui me turlupine,

J'ai conscience que ce n'est pas du tout spécifique a "android" mais je n'ai pas trouvé de catégorie "sécurité" et actuellement c'est sur une app android que j'ai cette question.

Alors voila, quand a partir de votre application vous voulez proposer à un utilisateur de se connecter à un service tierce qui propose ce genre d'api : (comme pour faire une application non officielle par exemple ou autre)

Login

Summary: Authorizes the user and gives token for the following methods.

Method: POST

Path: /1.0/auth/login

Content-Type: application/json

Body: email, password, totp (2-step authorization token, required if 2-step authorization is enabled)

Example body:

{
"email": "your_email@gmail.com",
"password": "your_password",
"totp": 123456
}

Comment peux-t-on assurer qu'on utilisera pas ses identifiants ? Ce serait pourtant très facile étant donné qu'on va créer nous-même le formulaire pour qu'il rentre ces infos... Aucune certitudes pour l'utilisateur qu'on ne récupère pas son mot de passe ? Tout est sur la confiance ?

Pour le service, il s'agit de Minergate : https://github.com/MinerGate/minergate-api

Merci d'avance !

[Hizin]

À chaque identification tu dois faire confiance au site ou à l'application.
Par contre, si tu parles d'OAuth (donc d'authentification via un compte tiers), ce problème est justement adressé en ne gérant pas toi-même le formulaire, mais que le service tiers le mette à disposition.

La, typiquement, avec ton exemple, c'est le compte de ton application qui est utilisé pour requêter l'API, pas le compte utilisateur, sauf si tu veux gérer toi-même la base utilisateur de ton application.

[Willy55]

Non je ne parlais pas d'Oauth mais bien de permettre a mes utilisateurs de se connecter a un service tierce donc de me donner leurs identifiants :/ ça repose bien sur la confiance avec un simple POST comme ça sans aucunes protection.

[Hizin]

De mon point de vue : pas dans ton exemple.
Ici, l'utilisateur (et donc le couple identifiant + mot de passe) est ton application, pas la personne physique utilisant ton application. C'est toi en tant que développeur qui va consommer l'API, pas l'utilisateur final.

[grunk]

De mon point de vue : pas dans ton exemple.
Ici, l'utilisateur (et donc le couple identifiant + mot de passe) est ton application, pas la personne physique utilisant ton application. C'est toi en tant que développeur qui va consommer l'API, pas l'utilisateur final.

Sauf si son application est un client pour l'API où chacun peut rentrer ses identifiants API pour s'en servir. Dans ce cas rien ne l'empèche de mettre un logger dans son appli qui lui renvoi les identifiants de chaque personne utilisant son appli.

Pour ce genre de cas , en tant qu'utilisateur, si c'est un compte un tant soit peu sensible :
- Si oauth : pas de problème
- Si pas de oauth mais appli open source => je vais jeter un oeil avant de m'en servir
- Sinon je ne fait pas confiance.

[Willy55]

Ouais voila c'est la ou je voulais en venir