Je vais essayer d'être concret pour bien que vous compreniez ce que j'aimerais savoir.
J'ai créé une app mobile basique avec Python et Kivy qui récupère les données de la BDD de mon site hébergé sous wordpress et qui possède une BDD externe sous MYSQL 8.
J'aimerais savoir comment on fait pour sécuriser tout ceci ?
Car vu que les infos de connexion ma BDD sont en BRUT dans mon code, n'importe qui peut s'y connecter.
J'ai fais des recherches et j'ai vu qu'on pouvait créé une API REST. Ca fonctionne avec Python et FLASK.
Mais finalement, si au lieu de mettre mes infos de connexion je met la clé de l'API dans mon app, la personne qui télécharge mon application pourra t-elle y accéder ? (par exemple en décompressant l'appli et en la mettant sur son ordi...)
Et vu qu'elle a la clé de l'API, peut-elle par exemple changer le code de mon applicaiton en LOCAL sur son client et ensuite exécuter et donc modifier ma BDD etc ?
Voilà en fait avant de me lancer j'aimerais mieux comprendre le fonctionnement... car j'ai lu de la doc, j'ai vu des vidéos mais tout n'est pas clair pour moi... je pense qu'il y a quelque chose qui m'échappe.
J'espère que vous comprenez ma question, je vous remercie par avance.
Il faut mieux être occupé que préoccupé. Romain :-)
J’ai pas vraiment compris ce que tu voulais dire par « clé API ». Cependant, tout est une question de droit. Un attaquant n’a pas besoin de décompiler l’app pour la modifier et ensuite recompiler la version modifiée. C’est très compliqué pour pas grand chose. Il lui suffit de télécharger l’app et de passer par un proxy pour voir tous les appels réseaux. qui sont fait. A partir de la il peut rejouer les appels et les modifier comme il veut. D’où les droits. Tu dois avoir un système d’authentification pour empêcher certains utilisateurs de faire certains appels et ton API ne doit pas tout exposer. Ton API ne devrait pas permettre de faire un DELETE sur toute ta table par exemple.
D'accord ok, as-tu des liens avec des explications plus approfondies stp ? ce serait vraiment génial...
En gros, d'une part j'écris mon code avec les requetes SQL dans l'API qui est hebergé sur un serveur ? et d'autres part mon code (du coup le code mon appli) coté client qui récupère les requetes via l'api ?
Merci
Il faut mieux être occupé que préoccupé. Romain :-)
Effectivement une API c’est le lien entre ton client et la base de données. Elle sert d’une part à protéger ta base de données et d’autres part à fournir de la donnée organisée, agrégée à tous tes clients
Si t’as un bug, au lieu de modifier tous tes clients, tu as juste à modifier l’api
Il faut mieux être occupé que préoccupé. Romain :-)
Sécurité entre une app mobile et une BDD
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Il faut mieux être occupé que préoccupé.
Romain :-)
Il faut mieux être occupé que préoccupé.
Romain :-)
Il faut mieux être occupé que préoccupé.
Romain :-)