Discussion :

[forinfo]

BONJOUR;
je me demande si vous pouvez m'aider à propos des services web, je vous serez tres reconnaissante.
le probleme est:
je viens de terminer une application web developpée avec c# en asp.net .le but c'etait de la publier sur le reseau local de la société.- maintenant le boss veut que l'application soit accessible de l'exterieur de l'entreprise mais en prenant en considération la sécurité de serveur de base de données de la société. on m'a proposé de penser aux services web. et je suis bloquée à ce stade là. est ce que je suis obligée de developper un service web pour chaque page aspx ou juste la page de demarrage.

pour moi l'utilité des services web est de faire communiquer plusieurs applications entre eux pas la sécurité. et je suis pas sure si les services web sont suffisants pour assurer la sécurité .

[popo]

Tu te fais une fausse idée des web services.
Un web service ne sert pas à faire communiquer plusieurs applications entre elles
Un web service sert à faire communiquer une ou plusieurs applications CLIENTES avec une application SERVEUR.
Cette application serveur peut éventuellement servir d'intermédiaire pour faire communiquer différentes applications clientes.

Pour l'aspect sécurité, le simple fait de passer par un web service ne garantira pas la sécurité.
Pour cela il faut au minimum sécuriser l'accès au web service lui même.
Cette page donne une première idée de ce qu'il est possible de mettre en place
https://docs.microsoft.com/fr-fr/sec...curity/6946659

[Pol63]

https c'est le début de la sécurité, après il faut une application avec login et interdire l'accès aux autres méthodes exposées si on est pas loggé

[forinfo]

https c'est le début de la sécurité, après il faut une application avec login et interdire l'accès aux autres méthodes exposées si on est pas loggé

merci à vous . l'implémentation de https se fait au niveau de serveur de l'application ou bien avant le déploiement de l'application?
merci pour votre réponse

[forinfo]

Tu te fais une fausse idée des web services.
Un web service ne sert pas à faire communiquer plusieurs applications entre elles
Un web service sert à faire communiquer une ou plusieurs applications CLIENTES avec une application SERVEUR.
Cette application serveur peut éventuellement servir d'intermédiaire pour faire communiquer différentes applications clientes.

Pour l'aspect sécurité, le simple fait de passer par un web service ne garantira pas la sécurité.
Pour cela il faut au minimum sécuriser l'accès au web service lui même.
Cette page donne une première idée de ce qu'il est possible de mettre en place
https://docs.microsoft.com/fr-fr/sec...curity/6946659

merci bcp. l'article est très utile. pour mon cas on m'a demandé d'implémenter un service web d'authentification dans la même application, chose que je trouve un peu inutile , qu'est ce que vous en penser?

[popo]

C'est loin d'être inutile.
C'est même la base de la sécurité d'un web service.

L'authentification permet de savoir qui appelle le web service.
Cela peut inclure qu'elle personne appelle le service et/ou quelle application.
Et cela permet de déterminer si ce qui appelle ton service est autorisé à le faire.
Sans cela, tu donnes accès aux données à n'importe qui et n'importe quoi.

Pol63 t'a parlé de login (et par extension, mot de passe).
C'est une possibilité, la plus simple mais la moins robuste car quiconque intercepte les données possède un accès illimité.

Je te suggères une authentification par jeton (genre bearer).
Tu demandes à passer au minimum un clientId et un clientSecret et ton service génère un jeton valable un certain laps de temps.
Ensuite chaque appel aux méthodes devra fournir ce jeton dans l'en-tête authorization.
Cela implique que ta base gère les différents couples clientid/clientsecret et l'associé à un client unique.
Puisque le jeton est valable dans un laps de temps limité, cela limite le laps de temps où quelqu'un pourrait l'intercepter et l'utiliser.
Pour encore plus de sécurité, tu peux éventuellement demander au consommateur de hasher le clientsecret d'une manière que tu auras déterminé.
Comme cela personne ne pourra retrouver ce secret en cas d'interception.
Tout cela est largement documenté sut le net

[forinfo]

Merci @POPO;
en fait j'ai jamais entendu parlé de clientid/clientsecret, je vais chercher un peu sur le net.
pour le service web d'authentification, est ce que je dois créer un service web(je travaille avec asp.net c# ) pour déclarer une méthode simple d'authentification, et par la suite l'appeler dans une page web d'authentification.?
merci pour vos retours.

[popo]

Je trouve que ce blog illustre bien le concept.
https://blogs.infinitesquare.com/pos...on-aspnet-core

Ce code ne doit pas être repris tel quel, il est juste là pour illustrer le concept.
Par exemple, l'email et le password ne doivent JAMAIS être mis en dur dans du code.
On peut par exemple gérer cela dans une base de données (qui n'est pas celle qui contient les données renvoyée par l'API).
Donc une base dédiée et non accessible depuis l'extérieur.

Un email et un password ne sont pas des données fiables (selon moi) car les gens ont tendances à toujours utiliser le même mot de passe.
C'est pour cela que j'ai suggéré clientId et SecretId qui ne sont pas choisis par le consommateur.