Discussion :

[olibara]

Bonjour

Etant completement novice en matiere de webservice (mais j'appends de jour en jour)

Je continue a chercher la meilleure maniere pour definir mon service afin que le client puisse donner un username et pasword afin de lui permettre d'acceder aux methodes du service.

Je souhaite ne PAS devoir passer pas une configuration Windows mais fare ma propre valisation

Merci de toute aide ou information a ce sujet car je suis encore dans le brouillard

[cybermaxs]

Salut,

Contrôles tu le client et le service dans ton projet ?
Souhaites tu être "Standards Compliant" ?

[olibara]

Salut Cybermax

Contrôles tu le client et le service dans ton projet ?

Oui

J'ai déja ajouté une petite classe de validation et fait pas mal de brico dans le Web.config

Ca tourne mais sans aucune authentification pour le moment car je n'ai pas encore tout compris

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 using System; 
 using System.Collections.Generic;
 using System.Linq;
 using System.Web;
 using System.IdentityModel.Selectors;
 using System.Security;
 using System.IdentityModel.Tokens; 
 using System.ServiceModel;
 
namespace ZI.Touch.Interop.Business
{
  public class ZIValidator : UserNamePasswordValidator
  {
    public ZIValidator()
    {
    }
    public override void Validate(string userName, string password)
    {
      if (userName != "Alex" || password != "vanbeek")
      {
        throw new FaultException("Invalid username / password combination!");
      }
    }
  }
}

Souhaites tu être "Standards Compliant" ?

Je souhaite etre le plus simple possible
le plus souple possible
et le moins Windows compliant possible

De toute facon le service sera consommé en PHP ou Coldfusion

[cybermaxs]

De toute facon le service sera consommé en PHP ou Coldfusion

Aïe ! l'interop de techno complique le problème. Il faut rester proche des terrains connus et des Standards.
BasicHttpBinding respecte la norme WS-I Basic Profile 1.1, ce qui garantit en théorie l'interop. Cela va aussi imposer des contraintes sur WCF.

WCF gère la sécurité de deux façons : via la couche transport et via le message. Le niveau message correspond très grossièrement à des entêtes SOAP dans les messages envoyés. Il est possible dans ce cas d'utiliser un classique UserNameToken ou un certificat. Attention UserNameToken est crypté via un algo définit dans le standard(voir si c'est possible en php).
Le niveau transport est plus complet mais moins perceptible. C'est un en gros la sécurité niveau HTTP (rien dans le soap). Il est possible d'utiliser BasicHttp, Digest, Windows, Certificate, ...

Pour compliquer le tout, certaines configuration de la sécu impose de l'https...

UserNamePasswordValidator te permet de mettre en place une validation username/pwd personnalisé coté serveur.

Ce lien va peut être t'aider http://msdn.microsoft.com/fr-fr/library/aa702565.aspx

[Nicolas Esprit]

Bonjour,

Si tu ne veux vraiment pas te prendre la tête d'un point de vue sécurité (mais je ne te le conseille pas !), que ça ne t'embête pas de voir figurer en clair dans le header SOAP le username et le password, alors tu peux utiliser ceci en WCF : ClearUsernameBinding.

[lousa005]

Bonjour tt le monde ,
au risque de donner une reponse bete, a propos de l'interop, il peut transformé son webservice en objet com pour pouvoir etre utiliser sur PHP mais avec un environnement Windows c sur
est ce possible ?