RESTFul Authentication and Authorization

Bonjour,


 


Je suis coincé sur un problème authentification de mes utilisateurs depuis une single page webapp basé sur Backbone js vers une api RESTFul en php.


 


Etant donné qu'une api RESTFul est sensé êtres stateless je pensais utiliser un système comme décrit ici :


 


http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/


 


Mais je dois avoir une clef privé du coté client hors je ne vois pas comment caché/sécuriser cette clef privée.


 


Avez vous une idée? Ou je part dans la mauvaise direction?


 


Merci d'avance.


Réponses

  • zoczoc Membre

    Mais pourquoi donc ne pas utiliser les mécanismes d'authentification existants déjà  dans le protocole HTTP (Basic, Digest et autres), et en sécurisant avec SSL/TLS ???


     


    c'est stateless et "it just works"...

  • Cherche sur le forum, le sujet à  déjà  été abordé et j'ai fait une longue explication des options possibles.


     


    Entre autre pour RESTFul + clef privée / certificat c'est HTTPS avec authentification client via certificat TLS. Tout existe déjà , nul besoin de réinventer la roue...


  • AlakAlak Membre

    Bon, je me sens con, effectivement tu répond clairement a ma réponse deux post en dessous...


     


    http://forum.cocoacafe.fr/topic/11193-restful-et-sécurité/?p=105718


     


    Je m'en vais réapprendre les bases.


     


    Merci a vous deux. :)


Connectez-vous ou Inscrivez-vous pour répondre.