Discussion :

[lenas_tshaleb]

Bonjour,

je mets en place une petite application web avec SpringBoot en backend et angular 4 en Frontend.

avant d'aller plus loin, j'aimerais savoir savoir comment sécuriser les échanges entre le back et le front ?

par exemple: l'application comporte un espace membre, donc pour l'authentification je dois exposer un service en back et lui envoyer depuis le front l'identifiant et mot de passe par exemple pour vérification, puis renvoyer la réponse au front. alors je me suis posé la question comment chiffrer le mot de passe et toutes les autres données sensibles. (surtout quand il s'agit de données envoyées depuis le front pour être enregistrées dans la base de données, comme un ajout de nouvel utilisateur...)

la partie back fonctionne qu'avec des services exposés type REST, est ce qu'il y a un moyen de paramétrer qui a accède à ces services, ou un moyen d'authentification généralisé ou un truc du genre.

j'ai pensé au chiffrement clé publique clé privé, mais l'échange de clés publiques (entre client et serveur) au préalable s'avère compliqué et surtout je ne suis pas sûr que ça se fait dans ce contexte.


merci pour vos réponse.

[NoClassDefFound]

Classiquement on utilise la couche Spring Security avec un token JWT.
A la phase d'auhentification le Back Office vérifie les credentials et génère un token WT en retour.
Charge à l'appli front de transférer ce token dans le header de toutes les requêtes suivantes.
Via spring security, on définit généralement les uri à protéger et on vérifier dans un filtre la validité du token.
Quant aux droits, spring security permet de définir des règles spécifiques pour les droits (@PreAuthorize par exemple)