Bonjour,

Je voulais savoir comment fonctionne un système de login sur une application de bureau, WPF.

Je sais qu'il faut réaliser une requête pour vérifier l'existence du compte mais je pense que a un niveau professionnel il existe un système de sécurité à mettre en place ? Donc qu'il faut rajouter des choses en plus, outre cette simple requête vers la bdd.

Je ne suis pas sur de comprendre ? 

Peut tu détaillé ? 

Au niveau "professionnel", sauf cas très très particulier (SSO sur systèmes hétérogènes sans fédération, kiosque en libre-service, etc....), on n'implémente pas de "login".

On utilise le token de sécurité généré par le système d'exploitation quand l'utilisateur s'est connecté au système, lors de la création de sa session.

On parle de "sécurité intégrée".

C'est le seul moyen "sûr" dans beaucoup de contextes de sécurité.

En utilisant la sécurité intégrée, c'est l'OS qui se chargera de faire les requêtes d'authentification et de répondre aux challenges générés par les programmes voulant authentifier l'utilisateur.

Donc, sauf cas particulier, avoir un mécanisme de login dans un applicatif est une erreur et la source de très grand nombre de trous de sécurité.

Après, selon des cas particuliers, et dans des contextes de sécurité plus "safe" (locaux sécurisés, personnes assermentées, audites de sécurité régulières, etc...), il peut être nécessaire d'implémenter un mécanisme de login, mais c'est toujours fonction du besoin et c'est toujours un canal d'infiltration qu'il faut tenter d'éviter le plus possible.

Aucun mécanisme qu'on pourrait te proposer ne sera "safe" dans l'absolu et son choix est fonction du contexte.

Ok merci et dans le cas d'un Tracker de bug qui fait intervenir des utilisateurs ? On n'utilise pas de système de login ? 

Désolé si la question paraît stupide. 

Qu'entendez-vous par Tracker de Bug ?

Un truc comme JIRA ?

Bin, ça dépend de sa communauté d'utilisateur.

Si c'est une communauté "fermé", on utilise l’authentification intégré de l'OS si la société a un parc informatique homogène ou un mécanisme de fédération d'identité avec l'utilisation de  LDAP par exemple.

Si c'est une communauté "ouvert", l'authentification "à la Web" fera l'affaire.

Mais on utilise des Framework qui s'occuperont des détails. C'est plus simple et cela évite les bugs d'implémentation, qui sont dévastateurs dans ce type de fonctionnalité.

Par exemple j'ai un tracker de bug sous forme d'application windows ou je vais pouvoir créer des compte utilisateurs afin de me loguer et créer des tickets et de les gérer. 

Un peu comme ça mais en bien moins pousser : 

Je précise que je souhaite réaliser cette application sans site lié à celle-ci.

Je pensais très simplement utilisé une connexion à une bdd qui teste si l'identifiant et le mdp de l'utilisateur existe. Si oui on ouvre les autres fenêtre puis etc... 

Je ne sais pas si tu as compris ?

Vous ne répondez pas à mes questions.

C'est quoi la "communauté" des utilisateurs de votre application ?

Vous êtes tanqué sur une "solution" à votre problématique mais elle me semble bien foireuse ou très complexe.

>Je précise que je souhaite réaliser cette application sans site lié à celle-ci.

Et ??

Si vous voulez votre solution, il vous faut une base de données PARTAGÉES, et elle sera hébergée où ? et accessible comment ?

>si l'identifiant et le mdp de l'utilisateur existe.

Et vous sécurisez comment l'accès à la base ?

Et comment vous sécurisez les données très sensibles (les mots de passe) en cas de vol/hack ?

>Si oui on ouvre les autres fenêtre puis etc...

Comment vous sécurisez votre client si la machine hôte a été compromise ?

Donc, je n'ai peut-être pas compris ta solution mais elle me semble truffée de trous de sécurité et comme il existe tout une palanqué de framework d'authentification/autorisation en fonction des types d'usage, je ne comprends pas ton obstination à réinventer une roue carrée.

-
Edité par Guizmo95 2 décembre 2019 à 18:09:44