Bonjour à tous, 

Je travaille sur une API pour le boulot. J'ai un "client" (une interface web), depuis lequel j’interroge mon API. Je ne gère donc que l'affichage des données. Toute connexion à la DB ne se fait que via l'API.

Pour le moment, je gère l'identification du client lors de l'appel à l'API via un token passé en header (vérification sur tous les appels). Ça fonctionne !

J'ai par contre besoin de gérer l'identification des utilisateurs à mon client via mon API, et c'est là que j'ai des doutes sur la fiabilité de ma méthode niveau sécurité.

J'ai pensé transmettre le couple "user/pwd" via un appel POST à l'API, sur une route /login par exemple. Cette route me retourne 'false' si la connexion est impossible, ou alors un array avec les infos nécessaires. En fonction du résultat, je gère soit une reconnexion avec redirection sur le formulaire, soit une connexion avec redirection vers l'accueil.

Et c'est là que j'ai besoin de vos avis, conseils, exemples ...

Je suis sûr que c'est très (trop) rudimentaire si c'est fait comme ça ! Je précise, je suis en HTTPS à la fois sur l'API et le client.

Sinon, j'ai aussi la possibilité de passer directement sur la BDD via le client lors de la connexion, mais je préférerais éviter ...

Merci d'avance pour vos retours

-
Edité par Ealon 24 septembre 2018 à 9:47:59

Petit UP en espérant avoir un peu de retour cette fois ci ...

Merci d'avance.