Discussion :

[mainContainer]

Bonjour,

dans une appli j'ai un petit problème qui se pose à moi pour faire une auth d'utilisateur sur un serveur distant via webservice (je ne sais pas encore sous quel protocole; ce n'est pas moi qui gère le webservice) le problème étant la transmission de mdp.

Il va me falloir le cryter (sha1 ou md5) mais je n'ai jamais transmis de serveur à serveur de cette manière et je peine à trouver des ressources sur le sujet.
Dois-je partager le sel ou une clé de crytage (like SSH) pour que le serveur distant puisse lire (pas décrypter) la signature générée ?

Si vous avez des tips, des conseils, des ressources, des bonnes pratiques: je suis preneur !! je fais des tests cette semaine et j'attaque la prod la semaine prochaine.

[sabotage]

Tu n'as pas de dechiffrer le mot de passe pour le valider (MD5 n'est pas déchiffrable de toute façon).

Quand un utilisateur choisi un mot de passe, l'application n'a besoin que d'en garder la version chiffrée.
Quand elle doit valider le mot de passe, elle refait le chiffrement de ce qui est saisi et contrôle qu'elle obtient la même chose.

[mainContainer]

Merci mais c'est pour ça que je précisais bien Lire (effectuer le comparaison de signature) et non la décrypter.
Pas besoin de me rappeler les bases que je maîtrise en local... tout mon "problème" réside dans la transmission de serveur à serveur (via webservice).

Et je précise bien: "problème" avec des guillemets car je n'en ai pas vraiment, la seule vraie interrogation que j'ai pour le moment c'est:
est-ce que je dois transmettre le sel au serveur distant pour permettre la comparaison de signature ?

Au pire je ferais des tests mais j'aurais aimé avoir quelques best practices avant de me lancer tête baissée.