Bonjour,
Actuellement en train de développez un API REST, je me retrouve sur une partie cruciale qui est la sécurisation !
Après pas mal de lecture tout cela me semble encore un peu floue et j'aimerai avoir vos avis et vos retours d’expérience sur ce sujet afin de faire le tri et partir dans la bonne direction.
Tout dabord, j'ai vu que Oauth et JWT étaient les deux approches recommandés pour sécurisez les requetes entre mon api et les applications Android et web qui seront rattachés dessus.
Du coup je suis déja perdu sur ce point la, j'ai un peu plus compris le fonctionnement du JWT que de Oauth, peut on en utiliser un indépendamment de l'autre mais surtout qu'est ce qu'y est recommandé ?
Aussi j'ai lu qu'il faut donner une clé d’API permettant d’identifier les applications et une clé secrète permettant de signer les requêtes et de les d’authentifier aupres de l'API .Ces deux clés je n'ai pas bien compris comment je dois les générer ? Et est ce que c'est Oauth ou JWT qui s'occupe de ça ?
Autre point, la gestion des roles des utilisateurs j'ai du mal à voir comment sur une requête je peux vérifier le rôle de l'utilisateur pour bloquer des ressources qui ne lui seraient pas accessible ?
J'ai un dernier point un peu plus specifique à mon cas ou j'aurai aimé avoir votre avis, du coté de l'appli mobile un utilisateur pourra s'enregistrer simplement en entrant son adresse mail ( il pourra toujours mettre ses infos a jour plus tard par l'update ) , cela peut il posé un problème avec l'utilisation de Jwt ou Oauth ?
Je sais que j'ai posé beaucoup de questions mais c'est une partie assez importante ou je n'ai pas envie de louper, merci à tous ceux qui pourront m'apporter de l'aide !
Cordialement,
Partager