Web service et securité

Signaler
Messages postés
2
Date d'inscription
mercredi 6 février 2008
Statut
Membre
Dernière intervention
25 novembre 2009
-
Messages postés
2
Date d'inscription
mercredi 6 février 2008
Statut
Membre
Dernière intervention
25 novembre 2009
-
Bonjour,

Dans le cadre d'un projet, je dois réaliser un web service qui permet à un client d'obtenir des informations sur la montagne de son choix. Mon web service utilise un fichier XML où est stocké toutes les différentes montagnes et leurs informations respectives.
Je dois également créer l'interface client (windows form application) qui se connecte à mon web service et permet de visualiser les différentes montagnes et leurs informations.
Cela fonctionne très bien, mais maintenant je dois récupérer des informations sur les clients qui utilise mon web service afin de faire des statistiques (fréquence d'utilisation du web service pour chaque client, ou nombre de fois qu'un client a demandé des informations sur cette montagne).

Pour cela je voulais mettre en place une identification par login et password afin de pouvoir identifier chaque client individuellement, et également autoriser un nouveau client à s'enregistrer. Bien sûr je souhaite également que l'échange entre le web service et l'application cliente soit sécurisé (pas besoin d'une sécurité de haut niveau juste l'essentiel).

J'ai donc fais pas mal de recherche, j'ai notamment lu la doc msdn web services security, mais maintenant je me sens complètement perdu, je sais pas quoi choisir entre toutes les différentes techniques authentification, et surtout je vois pas du tout comment faire.

Si quelqu'un peut m'aider à y voir plus clair, j'aimerai bien avoir un exemple concret pour bien comprendre. J'espère avoir été clair.

Merci d'avance pour votre aide.

ps: j'utilise visual c# 2008 et visual web developper 2008

3 réponses

Messages postés
2641
Date d'inscription
mercredi 2 juin 2004
Statut
Membre
Dernière intervention
8 janvier 2014
14
Salut, pour identifier les utilisateurs, tu peux aussi récupérer leur adresse IP, celle-ci changeant de moins en moins c'est plus simple et moins contraignant qu'une identification.

tu stocke ensuite ces données quelque part et voilà le tour est jouer, tu peux updater la ligne où l'IP correspond avec la date de la dernière connexion. c'est ce que j'avais mis en place afin de tester des accès à ma home page.

Chris...
- La vérité n'est pas ailleurs, elle est sous le nez de chacun, quelques mouvements neuronale permettent de l'entrevoir -
MCPD (webform-winform) / MCSA / MCDST / MCT
Messages postés
860
Date d'inscription
jeudi 4 mars 2004
Statut
Membre
Dernière intervention
19 août 2014
22
Bonjour,

Une manière simple de controller les utilisateurs d'un web service réside dans l'utilisation du SoapHeader.
Je vais pas te faire un récit sur la chose puisque Cyril l'explique parfaitemment: http://blogs.developpeur.org/cyril/archive/2007/04/07/soapheader-s-authentifier-proprement-a-un-webservice-soap.aspx.

Cela te donnera surement des idées d'implémentation,

Bon courage,

Billou_13

--------------------------------------------------------------------
Connaître la réponse est une chose, savoir pourquoi en est une autre
---------------------
Messages postés
2
Date d'inscription
mercredi 6 février 2008
Statut
Membre
Dernière intervention
25 novembre 2009

Merci, pour votre aide ! J'ai utilisé la technique du SoapHeader extension (version un peu plus complexe que le SoapHeader normal mais qui permet d'éviter de tester les credentials à l'intérieur de chaque web méthode): http://www.codeguru.com/csharp/csharp/cs_webservices/security/article.php/c5479/. Ça marche bien mais comme l'explique Cyril sur son blog (merci billou_13 pour ton lien), cette méthode d'authentification n'est pas standardisé. Pour cela, il faut utiliser les normes WS-*. Quelqu'un peut m'indiquer quel norme WS je devrai utiliser ?
Merci.