Bonjour,
je suis entrain de construire un blog en deux parties : une partie public qui a accès aux pages html (www.monsite.fr), et une API REST accessible sur un autre domaine(admin.monsite.fr) qui permet d'éditer le contenu.
Les deux parties du blog sont deux applications différentes, chacune dans leur conteneur, et la première n'aura accès à la BDD qu'en lecture seule.
Le reverse proxie serait configuré pour demander un certificat TLS aux clients qui se connecteraient à admin.monsite.fr. ( première couche de d'authentification).
La validation du certificat n'est requis que pour permettre au reverse proxie de savoir si oui ou non il passe la requête à l'application.
À partir de là, que devrais-je faire pour m'authentifier au niveau de l'application ?
Je peux :
- Configurer le serveur de sorte qu'il ajoute une entête avec les informations authentification
- Passer le login et le mot de passe dans l'entête à chaque requête
- Utiliser un jetons avec une date de péremption
- Utiliser un JSON Web Token
Quel serait le choix le plus pertinent selon vous ?
Partager