IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Sécuriser une requête vers une API RESTfull


Sujet :

Langage PHP

  1. #1
    Candidat au Club
    Homme Profil pro
    Stagiaire/assistant manager
    Inscrit en
    Août 2018
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Stagiaire/assistant manager
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Août 2018
    Messages : 4
    Points : 3
    Points
    3
    Par défaut Sécuriser une requête vers une API RESTfull
    Bonjour, merci de me lire,
    J'ai réalisé une requête http pour récupérer des données. Cette api requiert un identifiant et un mot de passe. Je veux que mes collègues entre leurs informations pour avoir accès aux données de l'api sur lesquelles ils ont des droits. Je passe donc ces données dans le header de la requête encodés en base64. Cependant cette API n'est pas interne à l'entreprise et passe par internet. Comme passer le mot de passe en clair dans le header de la requête me semble impensable, comment puis-je faire pour sécuriser cette requête ? Merci à tous.

    Code de la requête :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    <?php
    $username="user";
    $passw="password";
    $url="https://domaine.dom/api/path/to/file";
    $params = array('limits' => '10', );
     
    $header = array('Content-Type' => 'application/json');
     
     
     
    //add the http authentication to the header
    function addBasicAuth($header, $username, $password) {
        $header['Authorization'] = 'Basic '.base64_encode("$username:$password");
        return $header;
    }
     
    // method should be "GET", "PUT", etc..
    function request($method, $url, $header, $params) {
    $opts = array(
        'http' => array(
            'method' => $method,
        ),
    );
     
    // serialize the header if needed
    if (!empty($header)) {
        $header_str = '';
        foreach ($header as $key => $value) {
            $header_str .= "$key: $value\r\n";
        }
        $header_str .= "\r\n";
        $opts['http']['header'] = $header_str;
    }
     
    // serialize the params if there are any
    if (!empty($params)) {
        $params_array = array();
        foreach ($params as $key => $value) {
            $params_array[] = "$key=$value";
        }
        $url .= '?'.implode('&', $params_array);
    }
     
     
    //create flow context with option array completed with authentication informations
    $context = stream_context_create($opts);
    //get content in json ($header['Content-Type']=>'application/json')
    //get back content in json
    $data = file_get_contents($url, false, $context);
    return $data;
    }
     
    $header = addBasicAuth($header, $username, $password);
    /*after we call this function we have :
    $header=array('Content-Type' => 'application/json',
                'Authorization' => Basic.base64("$username:$password")
    );*/
    $response = request("GET", $url, $header, $params);//create context, create request and launch it
    echo $response;

  2. #2
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    Toi tu ne peux rien y faire.
    C'est au serveur qui t'expose l'API de mettre en place les sécurités nécessaire.

    Dans ton exemple tu semble interroger l'api via https , c'est suffisant pour que personne ne puisse lire les entêtes.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/07/2016, 17h49
  2. Copier un champ d'une requête vers une autre
    Par lerorodu51 dans le forum Requêtes et SQL.
    Réponses: 12
    Dernier message: 01/07/2008, 16h12
  3. Copier une requête d'une base vers une autre
    Par david71 dans le forum Requêtes et SQL.
    Réponses: 1
    Dernier message: 04/06/2008, 10h36
  4. Insérer une valeur depuis une requête vers un formulaire
    Par baila dans le forum Requêtes et SQL.
    Réponses: 1
    Dernier message: 07/08/2007, 12h07
  5. Basculer le résultat Requête d'une listebox vers une autre
    Par Daniel MOREAU dans le forum Access
    Réponses: 2
    Dernier message: 14/04/2006, 22h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo