sécuriser webService JSON
Bonjour à tous,
Je dois créer une application android qui communiquera avec une base de données mysql sur un serveur en ligne.
J'utilise donc un webservice REST qui me renvoie du JSON.
Jusque là tous va fonctionne bien le problème c'est que je passe à ce webservice une requête sql en POST ce qui veut dire que si quelqu'un passe une requête également il pourra récupérer toutes les données qui contiennent des adresses mail par exemple. Je dois donc sécuriser ce webservice.
J'ai pensé à 2 solutions, identifier l'appareil qui envoie la requête avec un identifiant unique de l'appareil Android (Settings.Secure.ANDROID_ID). Ou alors ajouter dans le code source un mot de passe qui permettrait d'identifier l'application qui fait la requête. Seulement je ne sais pas si il est possible pour une personne mal intentionné de récupérer ce mot de passe stocké en dure dans le code.
Sinon auriez vous d'autres solutions à me proposer ? Par exemple chiffré le résultat de la requête ou je ne sais quoi ?
Merci de m'avoir lu et de m'apporter une réponse si vous pensez en avoir les compétences :D
sécurisé web service JSON
Citation:
Envoyé par
grunk
Un article intéressant sur la question :
http://www.thebuzzmedia.com/designin...uthentication/
Pour résumer :
- On utilise une clé API pour identifier le client (ce que tu fait +/- avec Settings.Secure.ANDROID_ID)
- On signe la requête envoyée avec un ensemble de données (uniques) pour s'assurer que le client qui envoi au serveur est bien celui qu'il prétend être.
Puis-je avoir un peu plus d'explication sur ça. merci