IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

AJAX Discussion :

[AJAX] Protéger un mot de passe en appelant un script PHP


Sujet :

AJAX

  1. #1
    Membre averti
    Inscrit en
    Mai 2009
    Messages
    17
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : Mai 2009
    Messages : 17
    Par défaut [AJAX] Protéger un mot de passe en appelant un script PHP
    Bonjour à tous et par avance merci à toute l'aide que vous pourrez m'apporter.

    Je développe une petite application utilisant l'API d'un site web tiers. J'utilise pour cela l'objet XMLHttpRequest.

    L'API du site en question requiert une authentification via un nom d'utilisateur et un mot de passe. Débutant en Javascript/AJAX, j'aimerais savoir comment pouvoir rendre ce login/password inaccessible à l'utilisateur, pour des raisons de sécurité évidente.

    En parcourant de nombreux forums, une solution a été souvent évoquée mais sans vraiment d'explication: faire un appel AJAX vers un script PHP qui serait placé sur le serveur et qui renverrait les informations voulues.

    Est-ce une solution robuste? Et si oui est-ce que quelqu'un pourrait me mettre sur la voie?

    D'après ce que j'en ai compris (plutôt déduit), il s'agirait de faire un appel POST ou GET au script PHP, et qui en fonction des paramètres renverrait l'information voulue. Cependant je ne vois pas ce qui empécherait un utilisateur mal intentionné d'accéder au code source, et de simuler l'appel AJAX depuis son ordinateur afin de récupérer les informations renvoyées par le script...

    Merci d'avance!
    Pierre

  2. #2
    Membre Expert
    Avatar de emmanuel.remy
    Inscrit en
    Novembre 2005
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Âge : 56

    Informations forums :
    Inscription : Novembre 2005
    Messages : 2 855
    Par défaut
    Il me semble y avoir plusieurs cas de figures.
    - Soit l'API que tu appelles est en HTTPS et alors c'est réglé.
    - Soit l'API ne demande qu'une fois l'authentification et renvoie un numéro de session à envoyer par la suite: dans ce cas on peut imaginer que tu effectues la phase d'authentification depuis ton server PHP et que celui-ci renvoie ensuite l'id de session à ton client WEB, qui pourra l'utiliser pour les appels suivants.
    - Soit l'API te demande de t'authentifier à chaque fois et là cela complique les choses car il faudrait gérer ce passage par le server à chaque fois...

    Qu'en penses tu ?

    ERE

  3. #3
    Membre averti
    Inscrit en
    Mai 2009
    Messages
    17
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : Mai 2009
    Messages : 17
    Par défaut
    Il s'agit du second cas, donc oui en effet je n'ai besoin d'effectuer l'appel qu'une seule fois par session, ce que je peux faire depuis le serveur.

    Comme c'est mon premier projet en AJAX je suis un peu "perturbé" et en oublie les solutions les plus simples...

    Merci beaucoup pour ta réponse!
    Pierre

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [AC-2003] Protéger par mot de passe
    Par alain vdb dans le forum Sécurité
    Réponses: 2
    Dernier message: 18/08/2011, 09h00
  2. Réponses: 0
    Dernier message: 09/07/2010, 11h37
  3. [XL-2003] Protéger un mot de passe présent dans une macro
    Par Chevrefeuille dans le forum Macros et VBA Excel
    Réponses: 3
    Dernier message: 22/03/2010, 20h17
  4. Protéger un mot de passe
    Par vegas dans le forum Général Dotnet
    Réponses: 7
    Dernier message: 24/10/2007, 15h29
  5. Réponses: 6
    Dernier message: 12/10/2006, 21h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo