Discussion :

[h3llmo]

Bonjour.

Voilà, je sais que le sujet a souvent été traité, mais je ne trouve pas de satisfaction complète dans les réponses.

Je suis sur un projet client-serveur. Imaginez un logiciel de chat.

J'ai un webservice qui me retourne les informations demandées depuis un logiciel écrit en Qt/C++.
Le webservice est écrit en php avec NuSoap.

Là où ça se complique, c'est qu'une demande aura un contenu différent ou sera carrément interdite grâce à un jeu d'authentification.

Pour le moment, je ne sais pas comment authentifier les demande depuis le client.
Pour le moment, ma méthode n'est pas très élégante, puiqu'elle consiste a avoir dans chaque méthode de mon web service deux paramètres supplémentaire (login et passwd), donc je vérifie pour chaque demande qui fait la demande.

Sinon pour supprimer un paramètre, je pourrais toujours renvoyer à mon client une clé temporaire obtenue après une première authentification, cette clé me permettant de récupérer le compte associé à la session.

J'ai pas mal lu sur google, j'en ai vu qui utilisaient le header du message soap pour stocker l'authentification. Seulement c'était avec c#.

Bref, j'aimerais, avant de lancer, savoir quelle est la bonne méthode, si il y en une mauvaise, etc...

Donc pour résumer:
- serveur php avec web service NuSoap
- client Qt/C++ avec QtSoap
- comment s'authentifier ?

Merci d'avance pour ces quelques conseils.

[pandrogynik]

Bonsoir.

Tu peux gérer l'authentification au niveau de l'administration du serveur web (par .htaccess si ton serveur web est Apache par exemple) et transmettre tes identifiants via les headers HTTP. Un connexion https est souhaitable, les identifiants étant alors en clair dans les trames HTTP.

En fait le service web n'est pas un cas particulier, toutes les solutions pour sécuriser les ressources au niveau serveur sont applicables, et cela me paraît personnellement mieux que de sécuriser les choses au niveau du développement du service.

La plupart du temps, la notion d'authentification, sur un site web, se mêle à des questions de comptes, infos personnels, profils, design (ihm d'authentification agréable), etc... qui amènent à traiter les problématiques de sécurité au niveau du développement, mais pour les services, ramener la sécurité au niveau administration serveur me paraît plus simple et plus sain.

Ca t'évite de perturber l'interface (et l'implémentation) du service, comme tu l'as fait avec des paramètres liés à l'authentification.

D'ailleurs, les headers HTTP étant exploitable via les variables $_SERVER du PHP, tu gardes la possibilité d'approfondir si nécessaire des problématiques de rôles, ou autre, dans l'implémentation du service.

[h3llmo]

J'avais complétement oublié ce post, désolé.
Merci pour ta réponse, je vais y réfléchir, ça me parait intéressant comme solution, surtout avec

D'ailleurs, les headers HTTP étant exploitable via les variables $_SERVER du PHP, tu gardes la possibilité d'approfondir si nécessaire des problématiques de rôles, ou autre, dans l'implémentation du service.

qui m'aide déjà bien.
Je n'ai pas eu beaucoup de cours (pas du tout en fait) sur le développement web, donc je suis un peu largué sur pas mal de points >_<.