Question générale sur webservice et authentification
4 réponses
patrice
Bonjour
Je souhaite développer une série de fonction en webservice (sous windev avec
soap et apache)
Cette série de fonction doit être accessible, mais l'utilisateur doit
s'authentifier (pour le controle des droits)
Est il possible de ne pas avoir à inclure le login/password en paramètres de
chaque fonction ?
en gros, y a t'il une solution pour essayer de gérer une session ?
le but étant :
1 appel a la fonction de login
x appels aux autres fonctions
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jerome PAULIN
patrice a écrit :
Bonjour
Bonjour,
Est il possible de ne pas avoir à inclure le login/password en paramètres de chaque fonction ? en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
gg
patrice a écrit :
Bonjour
Bonjour,
Est il possible de ne pas avoir à inclure le login/password en paramètres de
chaque fonction ?
en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
Est il possible de ne pas avoir à inclure le login/password en paramètres de chaque fonction ? en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
gg
patrice
Jerome PAULIN a écrit :
patrice a écrit :
Bonjour
Bonjour,
Est il possible de ne pas avoir à inclure le login/password en paramètres de chaque fonction ? en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
gg
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Jerome PAULIN a écrit :
patrice a écrit :
Bonjour
Bonjour,
Est il possible de ne pas avoir à inclure le login/password en
paramètres de
chaque fonction ?
en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
gg
ben oui, persistence c'est bien mais comment identifier une session ?
si je tire un jeton aléatoire et une durée, le mauvais sort pourrait
peremettre a une personne d'essayer plusieurs jeton pour en trouver un
autorisé.
Est il possible de ne pas avoir à inclure le login/password en paramètres de chaque fonction ? en gros, y a t'il une solution pour essayer de gérer une session ?
Faire de la persistence dans une base de données ?
gg
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Jerome PAULIN
patrice a écrit :
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est pas prévisible. La durée de validité sans action ne doit pas être trop long (pour continuer sur le site du PMU, la durée de validité de la session est 5 minutes sans action).
gg
patrice a écrit :
ben oui, persistence c'est bien mais comment identifier une session ?
si je tire un jeton aléatoire et une durée, le mauvais sort pourrait
peremettre a une personne d'essayer plusieurs jeton pour en trouver un
autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de
session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est
pas prévisible. La durée de validité sans action ne doit pas être trop
long (pour continuer sur le site du PMU, la durée de validité de la
session est 5 minutes sans action).
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est pas prévisible. La durée de validité sans action ne doit pas être trop long (pour continuer sur le site du PMU, la durée de validité de la session est 5 minutes sans action).
gg
patrice
Jerome PAULIN a écrit :
patrice a écrit :
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est pas prévisible. La durée de validité sans action ne doit pas être trop long (pour continuer sur le site du PMU, la durée de validité de la session est 5 minutes sans action).
gg
merci , je vais m'orienter la dessus
Jerome PAULIN a écrit :
patrice a écrit :
ben oui, persistence c'est bien mais comment identifier une session ?
si je tire un jeton aléatoire et une durée, le mauvais sort pourrait
peremettre a une personne d'essayer plusieurs jeton pour en trouver un
autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de
session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est
pas prévisible. La durée de validité sans action ne doit pas être trop
long (pour continuer sur le site du PMU, la durée de validité de la
session est 5 minutes sans action).
ben oui, persistence c'est bien mais comment identifier une session ? si je tire un jeton aléatoire et une durée, le mauvais sort pourrait peremettre a une personne d'essayer plusieurs jeton pour en trouver un autorisé.
Le jeton aléatoire, s'il est suffisamment grand (par exemple le jeton de session du site www.pmu.fr fait 32 caractères alphanumeriques), n'est pas prévisible. La durée de validité sans action ne doit pas être trop long (pour continuer sur le site du PMU, la durée de validité de la session est 5 minutes sans action).