Discussion :

[FrenchFrogger]

Bonjour, je voudrais savoir ce qu'il me reste à faire pour sécuriser un web service.
J'ai Jonas 5.0.4, j'ai télécharger le wsdl http://www.webservicex.net/CurrencyConvertor.asmx?wsdl pour obtenir des taux de change monétaire. A partir de ce wsdl et de la commande WSDL2Java j'ai généré des classes java. A partir de là je n'utilise plus le wsdl et je n'ai aucun wsdd, j'utilise uniquement les classes. J'ai mis en place SSL, ça marche.
J'ai lu sur ce forum et ailleurs qu'on pouvait sécuriser un web service avec l'authentification, et avec xml encryption, xml signature...
Mais je n'arrive pas à savoir s'il est possible pour moi de mettre en place ces méthodes, et comment: dans ces tutos ou topics on parle de descripteurs wsdd à mettre dans le même répertoire que le wsdl, mais je n'utilise pas de wsdd et je n'ai plus besoin du wsdl, et on parle de xml alors que je n'utilise pas de xml (à moins que l'envoi des taux de change se fasse par xml?). Surtout, dans ce que je lis les explications concernant la mise en place de ces méthodes semble s'adresser à des fournisseurs de web services, or je ne suis pas fournisseur du web service (c'est webservicex.net le fournisseur).

Donc, est-ce que j'ai mal compris? Est-ce que SSL me suffit?

[tgrall]

Hello,

Lorsqu'on utilise des Web Services (SOAP) et qu'on parle de securité il faut differencier les 2 niveaux de securité:

- TLS: Transport Level Security lié au protocole reseau que tu utilises. Donc ici tu as bien securise ton service sur HTTPS. (mais aussi tu peux mettre en place un authentification sur HTTP par exemple). Ce niveau de securité est relativement simple a mettre en place, interoperable -entre stack WS- mais il a 2 inconvenients: il n'est pas possible de propager la securité directement, par le message entre les differents intermediaires (ESBs, BPM, ...) mais aussi tu peux difficilement combiner ce niveau de securité avec les autres standards WS (WS-*)

- MLS: Message Level Security, qui comme son nom l'indique est la securité liée au message.

Pour le MLS, on utilise SOAP et ses extensions notamment WS-Security ( http://www.oasis-open.org/committees/wss/ ). Le WS-S utilise SOAP Header pour ajouter des informations relatives a la securite (authentification -use token, SAML, X509, mais aussi encryptage et signature des message - ou d'une partie de message)
La mise en place de cette securité, au niveau SOAP, tu ne la fais generalement pas a la main mais tu utilises les librairies et outils liées a la stack WS que tu utilises.
Quelle stack utilises tu?
- si tu fais du JAX-WS, tu peux normalement utiliser Metro ( https://metro.dev.java.net/ )
- Axis2/WSO2 utilise Rampart pour a securité http://ws.apache.org/rampart/


Par default la WS-Security n'est pas lié au WSDL, qui defini le service. Mais il est important de pouvoir decrire la securité du WS, et cela se fait par un autre standard qui est lui lié au WSDL (et non pas au SOAP directement), ce standard est WS-Policy ( http://www.w3.org/Submission/WS-Policy/ ). Il faut egalement voir si les outils que tu utilises supporte WS-Policy.


Un site tres interessant sur les WS: http://www.service-architecture.com/


Regards
Tug
http://www.exoplatform.org
http://www.nantesjug.org
http://www.tugdualgrall.com

[madjidri]

sinon tu peux utiliser la sécurité basique offerte par ton serveur, certainement c'est pas très sexy mais c'est super facile à mettre en ouvre

[tgrall]

Oui c'est ce que j'appelle la TLS.

Tug