Web services authentifiés (ws)
De Wiki1000
Version du 5 novembre 2009 à 09:39 par Syfre (discuter | contributions)
L'exécution d'une requête Web service nécessite une session pour fournir le contexte d'exécution, par défaut le serveur crée une session anonyme attachée au contexte de l'utilisateur du serveur. Tel quelle l'exécution des requêtes Web Services ne sont pas authentifiés.
Différentes solutions sont possibles pour authentifier un Web Service, dans tous les cas il faut fournir au serveur un identifiant de session correspondant à un contexte utilisateur.
L’identifiant de session peut être passé de deux manières :
- Par un cookie http positionné dans l’entête http de la requête.
- Cette approche à l’avantage de ne pas nécessiter de modification du service métier.
- Par un paramètre passé dans chaque appel de service.
- Cette approche nécessite que le code métier change le contexte de session avant d’exécuter le service.
Un identifiant de session peut être obtenu de plusieurs manières :
- Pour un service interactif il est possible d'appeler l'écran de connexion du serveur Web, laisser l'utilsiateur s'authentifier et récupérer en retour l'identifiant de session positionné par le serveur dans un cookie de la réponse.
- Pour un service non interactif il est possible d'appeler le service REST de gestion des sessions.