Cet article constitue une suite au dossier sur les web services du numéro précédent. Nous l'avons vu, de plus en plus d'entreprises se tournent vers la mise en œuvre de web services, aussi bien pour la fourniture de services internes que pour offrir une API publique à leurs partenaires et clients. Il devient donc indispensable de se pencher sur la sécurisation de ce qui devient chaque jour un outil un peu plus central et critique.
Reprenons les bases de ce qui fait la sécurité d'un système : l'intégrité, la confidentialité et enfin la disponibilité. Les deux premiers points vont essentiellement concerner les échanges de messages entre le client et le serveur de Web Services, alors que le dernier s'applique surtout à la protection du serveur.
Tous les exemples de code fournis dans cette partie sont écrits en langage C et utilisent les bibliothèques libxml2 [LIBXML2] et xmlsec [XMLSEC]. Les exemples XML sont conformes à SOAP 1.2 [SOAP12] et WS-Security 1.1 [WSS]. La norme WS-Security permet d'inclure les clés dans les messages SOAP. Néanmoins pour ne pas compliquer excessivement les exemples, nous considérerons dans cet article que les clés sont déjà connues a priori des différents acteurs.
Les lecteurs sont invités à se reporter à l'article WS-Security du numéro précédent pour des précisions sur les aspects théoriques de cette norme.
1. Signature
Nous allons nous...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première