Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Axis] Securisation de l'appel client au WebService
Bonjour tout le monde!
J'espère poster dans la bonne section... Bref, j'ai un WebService qui tourne sous Axis/Tomcat et j'ai un client qui fait des appels sur mon WebService. Jusque là, rien de bien particulier!
Mais je voudrais sécuriser l'appel, en effet, certaines données qui sont transmises lors de l'appel du client au WS peuvent être "secrètes", et donc je voudrais sécuriser l'appel, mais je ne sais pas du tout comment m'y prendre...
Queslqu'un peut m'aider?
Merci d'avance!!
Wakaboo
Bonjour
Tout dépend à quel niveau tu veux protéger les données:
- Au niveau protocole: http -> https
- Au niveau du message: ws-security (encryptage des données?, signature du message?)
Merci pour la réponse rapide!
En fait je sais pas trop ce qui est le mieux, mais j'aime toujours apprendre, donc si je pouvais avoir un petit topo, des liens vers des tutos ou autre, je suis preneur!
Mais par rapport à ce que tu dis, si je passe en HTTPS, je crypte toute la trame, mais si je passe en ws-security, la trame passe en clair mais les données de la méthode sont cryptées, c'est ça?
Je te remercie par avance!
c'est ça.
Je sais que ws-security existe, mais je ne lai jammais mis en oeuvre.
D'accord, je ferai quelques recherches là dessus!
Et pour HTTPS, c'est déjà implémenté dans le JDK il me semble?
Pour https il faut soit activer le connecteur https de tomcat (en commantaire dans le server.xml dans le rep conf) soit mettre un front-end apache.Envoyé par Wakaboo
Et au niveau du Java, tu sais ce qu'il faut faire?
au niveau applicatif y'a rien à faire, juste la configuration de ton serveur tomcat ou/et apache ..
Articles: Richfaces - JBosstools pour JSF.
Donc je ne change pas mon code client, je configure Tomcat pou rqu'il passe en mode SSL, et tous les appels au WebService de mon client seront sécurisés???Trop top! 8)
Ouaip c'est ca. Si c'est résolu, ben met un tag résolu
Juste avant je me pose encore quelques questions!!! Après je cloture, promis!!
* Vous parliez de "front-end apache", kézako?
* J'ai également un site web en JSP qui va se connecter au WS, là aussi y'a rien à faire?
* Celle là est plus sur le fond : comment ça se passe derrière? Schématiquement : Il y a un premier paquet qui est envoyé vers le WS qui identifie Tomcat, voit que c'est en SSL, revient côté programme et prévient que c'est en SSL, donc avant d'envoyer toute donnée, il crypte le tout?
* Si Tomcat se charge de tout, pourquoi existe-t-il des implémentations de sécurisation?
Merci beaucoup d'avance pour toutes ces questions!
1) Apache HTTP Server est un serveur web classique (pas un servlet engine), il permet de crypter les echanges entre le client et lui-même, le serveur tomcat se trouvant derriere l'apache ou sur la même machine.Juste avant je me pose encore quelques questions!!! Après je cloture, promis!!
* Vous parliez de "front-end apache", kézako?
* J'ai également un site web en JSP qui va se connecter au WS, là aussi y'a rien à faire?
* Celle là est plus sur le fond : comment ça se passe derrière? Schématiquement : Il y a un premier paquet qui est envoyé vers le WS qui identifie Tomcat, voit que c'est en SSL, revient côté programme et prévient que c'est en SSL, donc avant d'envoyer toute donnée, il crypte le tout?
* Si Tomcat se charge de tout, pourquoi existe-t-il des implémentations de sécurisation?
Merci beaucoup d'avance pour toutes ces questions!
L'avantage c'est la vitesse et la possibilité de faire d'autres choses comme du load balancing par exemple. Pour plus d'infos j'ai ecris un petit tutorial mais qui n'est pas encore finalisé. http://zekey.developpez.com/articles/ApacheTomcat/
2)Il faudra veillez à ce que toutes les connections se fassent sur https au lieu de http.
3) rien compris
4) Pour la vitesse et les différents niveaux de sécurité
Merci pour ces réponses!! Je jette un oeil tout à l'heure à ton tuto!
Je reprends la 3, moins crispé!
Je ne comprends pas comment le client sait que le canal est sécurisé. Je suppose qu'avant tout envoi de donnée au WS, il y a une phase de dialogue entre le client et el WS pour qu'ils se mettent d'accord sur le fait que c'est du SSL. C'est bien ça?
Non selon que tu utilises http://localhost ou https://localhost c'est sécurisé ou pas
D'accord, donc je spécifie mon endpoint en https et tomcat fait le reste!
Et bien dans ce cas, ça mérite un tag résolu!
Merci beaucoup à tous!!
Aïe aïe aïe!!!!
Désolé de vous redéranger mais j'ai un petit soucis!!
J'ai modifié le fichier de config server.xml
J'ai créé un .keystore avec keytool
j'ai rajouté les libs JSSE dans le axis/WEB-INF/lib
Tomcat démarre sans problème, je peux m'y connecter en HTTPS
Je déploie mon service
Il est accessible en HTTPS
Donc jusque là tout va bien!!
Mais lorsque mon client fait un appel au WS, ça plante!
J'ai une exception du type :
[java] AxisFault
[java] faultCode: {http://schemas.xmlsoap.org/soap/envelope/}Server.userException
[java] faultSubcode:
[java] faultString: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found
[java] faultActor:
[java] faultNode:
[java] faultDetail:
[java] {http://xml.apache.org/axis/}stackTrace:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found
J'en déduis qu'il trouve pas le certificat côté client, mais comment on fait pour le lui spécifier??
Merci et désolé de vous re déranger encore!!!
Ca y est, j'ai trouvé!!!!
Pfiou!!!
Alors, il faut en fait rajouter deux lignes dans le code client :
System.setProperty("javax.net.ssl.trustStore", "chemin au clientTruststore");
System.setProperty("javax.net.ssl.trustStorePassword", "mot de passe du clientTruststore");
Et après ça marche!
Mais pour que ça marche, il fait donc générer des keystore côté client et serveur avec keytool, exporter un certificat du keystore serveur et l'importer dans le keystore client!
Voilà, je re-tag résolu!
Réponse :Je suppose qu'avant tout envoi de donnée au WS, il y a une phase de dialogue entre le client et el WS pour qu'ils se mettent d'accord sur le fait que c'est du SSL. C'est bien ça?
Passer par http ou https (pour le client) revient uniquement à choisir le port par défault ( 80 ou 443 ) . Pour l'envoi et le décryptage des données il y a bien entendu une négociation de clés au départ , HTTPS = HTTP + SSL .Non selon que tu utilises http://localhost ou https://localhost c'est sécurisé ou pas
C'est le protocole SSL qui démarre après la connection TCP . Après négociation on repasse en mode HTTP .
Merciu pour cette précision!
Répondre avec citation
Partager