Zend FR

Même solution. La seule solution sécurisée à mon sens est l'https, avec login et mot de passe. C'est ce que j'ai implémenté pour mes services web.

Merci beaucoup pour vos réponses !
J'avais pensé à la solution https donc merci sekaijin et vg33 de confirmer.
Philippe pour l'instant avec des webservices simplistes REST et donc c'est vrai que pour SOAP j'ai vu plusiurs implémentations de WS-Security. Mais on ne sait pas encore réellement si on aura besoin de webservices SOAP, REST étant très simple et rapide à mettre en place.

@ vg33 : je reviens sur ta solution https/login et mot de passe. L'utilisation de tes webservices se limite à des clients "connus" (authentifiés sur ton site) ou est restreinte par exemple à 2 machines auquel cas tu passes directement les login/mot de passe dans la requête ?

@ seikaijin : quel est le coût de la méthode clé publique/clé privée ?

Merci encore pour vos réponses

Merci pour ta réponse complète sekaijin
C'est vrai que cette méthode demande du temps et beaucoup de moyens pour la mettre en place.
Est ce que ça veut dire qu'en terme d'architecture physique ton serveur gérant les clés est différent de celui hébergeant ton site ? Je suppose que si c'est le cas ça complique encore les choses au niveau du nombre de requêtes passées ...

Mes services web sont utilisés par des applications distantes, et par l'application elle-même (elle requête ses propres services pour factoriser le code).
Tout simplement, au moment d'instancier le service web, le client doit envoyer son login et mot de passe (en https je rappelle), et son authentification est conservée en session.

Bonsoir,
je déterre un peu ce topic.

J'ai besoin de développer un webservice pour séparer une gestion d'un portail public.

Je n'ai jamais développé de webservices mais j'en utilise deux en SOAP qui ont des méthodes d'authentification différentes.
Le premier (d'OVH) demande une auth au départ, retourne l'ID de session qui est ensuite le premier paramètre de chacune des fonctions appelées.
Le second (un truc plus privé) demander le couple login / password dans chacune des fonctions.

Est-ce qu'il y a une grande différence entre les deux méthodes ?

Comme je développe la partie server de la partie client, j'ai un max de flexibilité. Mais est-ce préférable de réduire au minimum le nombre de fonctions appelées dans un script ?
Je m'explique. J'ai par exemple besoin d'envoyer depuis la gestion client les factures de 1000 clients sur la partie publique. Est-ce que je fais une méthode simple qui enverra pour chaque client sa facture (donc méthode appelée 1000 fois) ou est-ce que je m'oblige à tout envoyer en une seule fois pour que ce soit sur la partie publique que je décortique le tout ?

Sur mes services Web en plus d'une clé j'ai aussi une protection par referrer . c'est à dire que seul certain ip sont autorisé a consommé les WS. Après cela nécessite de connaître les ip .

Si tu fait 1000 appels un par un et que tu as  un problème de liaison tu risque d'avoir des pertes ? alors que si tu retourne tes 1000  lignes en un appel tu limite les pertes. Voila c'est mon avis