Bonjour,
je voulais avoir des idées sur comment puis je procéder pour sécuriser mes Web Services que j'ai implémenté via JAX-WS.
Merci d'avance.
Version imprimable
Bonjour,
je voulais avoir des idées sur comment puis je procéder pour sécuriser mes Web Services que j'ai implémenté via JAX-WS.
Merci d'avance.
par "sécuriser" tu veux parler d'authentification, d'encryptage ou de signature ?
ou des trois ;)
A+
:oops: je connais pas la différence entre encryptage et signature.
peux tu stp m'expliquer les 3?
l'authentification, c'est le fait de prouver son identité, par exemple à un fournisseur de service. il y a plusieurs possibilité de prouver qui l'on est :
un mot de passe par exemple est un exemple courant mais cela peut être plus subtile (et plus compliqué) comme par exemple, un challenge/réponse ou une authentification par empruntes digitales ou rétiniennes.
L'encryptage protège le contenu d'une conversion, au cas ou un intervenant viendrait "écouter" ce qui se passe sur le réseau (avec un soft comme ethereal par ex.). elle peut se faire au niveau transport (https) ou au niveau du message, voir d'une partie de message. l'encryptage protège la confidentialité des donnée.
on peut utiliser des clés de cryptages symétriques ou asymétrique
La signature permet de garantir que le message n'a pas été manipulé par un intermédiaire, en utilisant un hash (comme sha) puis en encryptant celui-ci avec un principe de clé public/privée (pki)
bon c'est un peu rapido, mais en gros, c'est ça...
Je te recommande vivement le livre suivant :
http://www.manning.com/kanneganti/
A+
Arfff... j'oublie un des plus important... L'autorisation (à ne pas confondre avec l'authentification)
l'authentification : on contrôle que le user est bien qui il prétend être (en vérifiant qu'il connait son mot de passe par exemple)
l'authorisation : on regarde les actions autorisées pour ce user et les ressources auxquelles il a accès (ACL, RBAC...)
pour sécuriser avec JAX-WS, regarde du coté de Metro et de sa documentation. En 2 mots, il s'agit d'enrichir le WSDL avec de assertions WS-Policy. Pas de nouvelle API à utiliser.
Bonjour,
Merci beaucoup oca pour tes explications,c'est vraiment gentil de ta part.
merci aussi pour alexismp pour l'information.
Je vous tiendrai au courant de mon etat d'avancement en ce sujet.
Bonne Journée