Bonjour à tous, 

Je suis en train de développer une application mobile connectée à un serveur Java. Je suis confronté à un "soucis" architectural et aurait besoin de vos conseils avisés.

En effet, cette application a été conçue initialement pour n'avoir besoin que de requêtes GET (Le serveur respecte l'architecture REST). Jusqu'ici tout allait bien. Je veux maintenant implémenter une solution de vote sur des entités avec un vote unique par utilisateur: j'aime/j'aime pas. Afin de réaliser ce système de votes, j'ai rajouté des requêtes PUT afin de modifier ces entités. Seulement, un utilisateur peut utiliser plusieurs fois cette même requête et donc, réaliser une faille de sécurité en faussant les votes. 

Connaissez-vous un moyen d'authentifier un utilisateur sans pour autant lui demander de créer un compte? J'aimerai que cette application reste sans login/mot de passe pour un simple confort utilisateur. 

J'ai pensé dans un premier temps utiliser l'UUID du téléphone. Cependant cela représente une potentielle faille également vu qu'il peut être usurpé et pose sans doute des problèmes légaux de stockage en base de données etc... 

Je suis ouvert à vos avis/critiques :) 

Merci en tout cas pour votre aide

-
Edité par Hyrr0 17 novembre 2015 à 8:53:12

Salut , 

Je ne suis pas expert en mobile

Peut être que tu peux mettre un flag indiquant qu'un utilisateur à voté ou non ( l'utilisateur à au moins un pseudo je pense )

Si tu as au moins un moyen d'identifier un utilisateur dans ta base , tu peux l'utiliser pour essayer d'identifier si oui ou non il a voté.

Merci à toi pour ta réponse.

J'ai pensé à cette solution mais le but est d'éviter à tout prix un système d'enregistrement soumis à l'utilisateur (Saisie d'un login/mdp, ou autre système) afin de préserver une utilisation transparente et simplifiée. Je n'aime pas devoir m'inscrire sur un site/application hors besoin nécessaire, je trouverai ça hypocrite d'obliger mes utilisateurs à le faire JUSTE pour un vote, alors que ça n'est pas forcément nécessaire...

J'ai pensé à créer un token au premier appel des services et stocker ce token dans le stocke interne du mobile. Ainsi, pas besoin de le regénérer. Mais cela pose un problème de sécurité évident: n'importe qui utilisant ce service obtient un token...

J'espère qu'avec ces explications cela parait maintenant plus clair. La solution, je l'admet, serait vraiment un enregistrement de l'utilisateur quelconque. Ne serait-ce que via une adresse mail par exemple (sans mdp).. mais niveau expérience utilisateur, je trouve ça limie et souhaite vraiment l'éviter si cela est possible :/

Merci tout de même

Re

Ah je vois d'accord pour le système de User. 

Tu n'as pas un moyen d'identifier une connexion par exemple , genre avec l'adresse IP ?

Ou bien via le google store identifier quelqu'un ? 

Exemple : Quand tu te connectes pour télécharger une appli , le google store sais si oui ou non tu as cette appli (je ne sais pas si je suis très clair)

C'est vrai que l'UUID est une solution mais tu as donné les désavantages de cet solution.

Oui, mais dans ton exemple du google store: tu es connecté avec tes identifiants gmail par exemple

je peux utiliser OAuth qui permettrait d'utiliser le login via google et donc, un seul clic. Mais vraiment je souhaite m'en passer :/

Merci pour ton aide tout de même

Oui c'est vrai , j'espère que d'autres pourront te répondre.

Bonne continuation