Bonjour,

j'ai commencé depuis quelques jours sur les webservices, j'ai une question à propos de l'autorisation d'exécution d'un webservice.
Voici comment est aujourd'hui notre architecture:
L'utilisateur se connecte sur notre site internet (login/mot de passe) et un identifiant chiffré en MD5 lui est attribuer en base de donnée.
A chaque appel d'une webméthode, on passe l'identifiant, et il y a une vérification qui est faite pour savoir si l'identifiant est valide (donc si la personne s'est réellement connecté) et si c'est le cas la webmethod est exécutée.
Toutes les webméthodes font cette vérification.

Si j'ai bien compris les webservices sont exposés sur internet, et tout le monde peut y avoir accès.
Mais existe t il un moyen pour empêcher de récupérer les méthodes d'un webservice et qu'un utilisateur les utilise alors qu'il en a pas le droit.
Dans l'architecture si dessus, je pense que tout le monde peut les récupérer (si on connait l'adresse bien entendu) mais à l'exécution cela ne fonctionnera pas si on est pas identifié correctement.

Alors l'utilisation de certificat et HTTPS peut il répondre à mes attentes?
C'est à dire n'autoriser que mon serveur web à appeler les webservices et aucun autre client qui les aurait récupéré.


J'espère avoir été clair dans mes explications et je vous remercie d'avance de l'aide que vous pourrez m'apporter.