Discussion :

[Phach]

Salut,

Je suis entrain d'essayer de réaliser une API en PHP interrogeable par d'autres sites pour récupérer et afficher des infos sur leur site. Le résultat est l'affichage d'une image.

Or, je ne souhaite pas que tout le monde puisse librement le faire, au même titre que IGN avec geoportail par exemple ou bien d'autres dans d'autres domaines (Meteo France je crois, etc).

J'ai un mécanisme d'authentification qui fonctionne avec une clé fournie au client. Mais comment etre sur que ce soit bien le client qui effectue les requetes à partir de son propre site web ?

HTTP_REFERER ? j'ai moyennement confiance la dedans. et puis comment l'exploiter puisque je récupèrerait toute l'URL

J'avoue que je ne sais pas trop quoi tester. C'est probablement tout simple, mais là, dur dur...


merci

[eswiac]

Bonjour,

Deux solutions s'offrent à toi:
- http://oauth.net/
- Remettre la clé d'API à l'ayant droit, et utiliser HTTPS afin de chiffrer les transactions (et la clé par la même occasion). Le client est censé être responsable de sa clé et ne pas la divulguer sur la toile

[alheim]

En effet, oauth est la meilleure solution.

J'ai écrit un billet sur l'utilisation d'un client oauth avec Zend_Oauth.

Tu pourras aussi trouver ici comment implémenter une API OAuth.

Happy coding !

[Phach]

merci de votre aide, je vais étudier cette solution

[Phach]

je sens que je vais y passer un moment, ca a pas l'air simple.
mais effectivement, ca semble correspondre à ce que je veux faire.