Discussion :

[SuiramDu74]

Bonjour,

Je recherche un peu d'aide car je me pose quelques questions.

Voilà, prenons un exemple :

Je possède un serveur A, qui héberge mon site web avec sa page d'accueil
Je possède un serveur B, qui échange avec une base de données
Je souhaiterais que le serveur A envoie une requête au serveur B dans la but de récupérer du contenu (ex : une liste d'utilisateurs) et de l'afficher sur la page d'accueil.

Actuellement, mon serveur A envoie une requête au serveur B via cURL, le serveur B interroge la base de données et renvoie les données sous la forme d'un JSON.

Jusque là, tout fonctionne, ok.

Mais le système n'est pas du tout sécurisé ?!

En effet, si je reprends mon exmple, il me suffit d'appeler la bonne URL avec les bons paramètres pour lister les utilisateurs, et ce depuis n'importe quel serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$data = array(
    'action' => 'list_users'
);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,"https://monserveurB.test/users.php");
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$server_output = curl_exec($ch);
curl_close ($ch);
$users = json_decode($server_output, true);

Avez vous des pistes pour que je sécurise tout cela, et que seule mon application A puisse accéder au serveur B ?

Je précise que je travaille en PHP procédural, sans framework.

Merci par avance pour votre aide !

[rawsrc]

salut,

pour éviter que des petits curieux aillent récupérer tes données, le plus simple c'est d'identifier le serveur appelant en rajoutant un jeton à toutes les requêtes.
Si le jeton est dans la base du serveur en charge de fournir une réponse, tu sauras que c'est une demande légitime : ?...=...&token=12345789.
Tu peux aussi compléter avec d'autres infos fixes en provenance de l'appelant.

[SuiramDu74]

Bonsoir,

Merci beaucoup pour ta réponse

Si je suit tes recommandations, je peux faire comme ceci du côté client ? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
$data = array(
    'action' => 'list_users',
    'token' => 'ma_cle_crypte_en_md5',
    'name_serveur' => 'monserveur.com'
);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,"https://monserveurB.test/users.php?token=ma_cle_crypte_en_md5");
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$server_output = curl_exec($ch);
curl_close ($ch);
$users = json_decode($server_output, true);

Je dois donc enregistrer "ma_cle_crypte_en_md5" dans la base de données.
Quand le serveur en charge de fournir un réponse reçoit une requête, il récupère la clé, la compare et si c'est la bonne, alors on effectue le traitement ?

[rawsrc]

salut,

n'utilise plus l'algo md5. Il est tombé et a été compromis plusieurs fois (collisions)
Fais simple : génère un jeton en dur NxwtR32meCEGh8DX9r0t que tu sauvegardes en base et qui te sert d'identifiant pour authentifier les appels.
La sécurité par jeton ne fonctionne que si t'es quasiment le seul à avoir accès au code source de l'appelant ou que des personnes de confiance.

[SuiramDu74]

Merci pour ton aide !