Webservice : login

[darknessgc]

Bonjour à tous, 

 

je me permet de vous consulter concernant l'utilisation des webservices.

 

actuellement en développement d'une application android , j'utilise les webservices de prestashop afin de récupérer certaines informations , notamment la liste des articles avec les descriptions , avec succès.

 

néanmoins je me heurte à plusieurs difficultés, relative à la sécurité.

 

- dans mon application j'enregistre la clé du webservice , qui est par conséquent utilisé pour effectuer l'accès au webservice.

 

cette clé me permet d'accéder à la ressource customer notamment, mais elle me permet d'accéder à la totalité des informations des customer (afin de ressortir l'info que pour un customer , on pourrais utiliser les filtres, mais cela ne protègerait pas l'accès à la liste de tout mes clients si dans mon navigateur je saisissait la clé sans filtre)

 

j'aimerai savoir si à votre connaissance , il serait possible qu'un paramètre d'identification par le couple email / mot de passe ou hash puisse limiter l'accès aux ressources uniquement de l'utilisateur identifié.

 

Je suis ouvert à toute suggestion.

 

Bon prestashop à tous.

 

[loun4]

Aucune suggestion ?

[kaen25]

La solution pour cacher des trucs et limité l'accè et de passer par un fichier entre la vrai api et l'appli un espèce de proxy qui permettrait de garder une certaine intégrité.

Je le fais assez régulièrement quand je monte des applications ajax pour camoufler les clés et autres données sensibles.

 

en gros

navigateur / appli -> proxy.php -> api prestashop

 

Dans le proxy.php tu ajoutes le traitement sensible que tu ne veux pas que l'utilisateur voit.

Edited November 20, 2015 by kaen25 (see edit history)

[loun4]

Oui effectivement, après plusieurs semaines de batailles avec les WS prestashop, je me suis aperçu qu'il est quasi impossible de communiquer directement avec les WS depuis une appli front.

 

Du coup, je me suis fait un proxy Node.js (je ne suis pas un gros fun du PHP) pour communiquer avec les WS prestashop et qui gère du coup la partie authentification.

[kaen25]

Quand je disais php, c'est parce que persta est en php mais rien n'empeche d'utiliser un autre language