Bonjour à tous et par avance merci à toute l'aide que vous pourrez m'apporter.
Je développe une petite application utilisant l'API d'un site web tiers. J'utilise pour cela l'objet XMLHttpRequest.
L'API du site en question requiert une authentification via un nom d'utilisateur et un mot de passe. Débutant en Javascript/AJAX, j'aimerais savoir comment pouvoir rendre ce login/password inaccessible à l'utilisateur, pour des raisons de sécurité évidente.
En parcourant de nombreux forums, une solution a été souvent évoquée mais sans vraiment d'explication: faire un appel AJAX vers un script PHP qui serait placé sur le serveur et qui renverrait les informations voulues.
Est-ce une solution robuste? Et si oui est-ce que quelqu'un pourrait me mettre sur la voie?
D'après ce que j'en ai compris (plutôt déduit), il s'agirait de faire un appel POST ou GET au script PHP, et qui en fonction des paramètres renverrait l'information voulue. Cependant je ne vois pas ce qui empécherait un utilisateur mal intentionné d'accéder au code source, et de simuler l'appel AJAX depuis son ordinateur afin de récupérer les informations renvoyées par le script...
Merci d'avance!
Pierre
Partager