Web service et securité

Question

Bonjour,

Dans le cadre d'un projet, je dois réaliser un web service qui permet à un client d'obtenir des informations sur la montagne de son choix. Mon web service utilise un fichier XML où est stocké toutes les différentes montagnes et leurs informations respectives.
Je dois également créer l'interface client (windows form application) qui se connecte à mon web service et permet de visualiser les différentes montagnes et leurs informations.
Cela fonctionne très bien, mais maintenant je dois récupérer des informations sur les clients qui utilise mon web service afin de faire des statistiques (fréquence d'utilisation du web service pour chaque client, ou nombre de fois qu'un client a demandé des informations sur cette montagne).

Pour cela je voulais mettre en place une identification par login et password afin de pouvoir identifier chaque client individuellement, et également autoriser un nouveau client à s'enregistrer. Bien sûr je souhaite également que l'échange entre le web service et l'application cliente soit sécurisé (pas besoin d'une sécurité de haut niveau juste l'essentiel).

J'ai donc fais pas mal de recherche,  j'ai notamment lu la doc msdn web services security, mais maintenant je me sens complètement perdu, je sais pas quoi choisir entre toutes les différentes techniques authentification, et surtout je vois pas du tout comment faire. 

Si quelqu'un peut m'aider à y voir plus clair, j'aimerai bien avoir un exemple concret pour bien comprendre. J'espère avoir été clair.

Merci d'avance pour votre aide.

ps: j'utilise visual c# 2008 et visual web developper 2008

cboulas · Answer

Salut, pour identifier les utilisateurs, tu peux aussi récupérer leur adresse IP, celle-ci changeant de moins en moins c'est plus simple et moins contraignant qu'une identification.

tu stocke ensuite ces données quelque part et voilà le tour est jouer, tu peux updater la ligne où l'IP correspond avec la date de la dernière connexion. c'est ce que j'avais mis en place afin de tester des accès à ma home page.

Chris...
- La vérité n'est pas ailleurs, elle est sous le nez de chacun, quelques mouvements neuronale permettent de l'entrevoir -
MCPD (webform-winform) / MCSA / MCDST / MCT

billou_13 · Answer

Bonjour,

Une manière simple de controller les utilisateurs d'un web service réside dans l'utilisation du SoapHeader.
Je vais pas te faire un récit sur la chose puisque Cyril l'explique parfaitemment: http://blogs.developpeur.org/cyril/archive/2007/04/07/soapheader-s-authentifier-proprement-a-un-webservice-soap.aspx.

Cela te donnera surement des idées d'implémentation,

Bon courage,

Billou_13

--------------------------------------------------------------------
Connaître la réponse est une chose, savoir pourquoi en est une autre
---------------------

cs_petiteGwen · Answer

Merci, pour votre aide ! J'ai utilisé la technique du SoapHeader extension (version un peu plus complexe que le SoapHeader normal mais qui permet d'éviter de tester les credentials à l'intérieur de chaque web méthode): http://www.codeguru.com/csharp/csharp/cs_webservices/security/article.php/c5479/. Ça marche bien mais comme l'explique Cyril sur son blog (merci billou_13 pour ton lien), cette méthode d'authentification n'est pas standardisé. Pour cela, il faut utiliser les normes WS-*. Quelqu'un peut m'indiquer quel norme WS je devrai utiliser ?
Merci.

Web service et securité

3 réponses

Votre réponse

Discussions similaires