Interface Python pour un site
Résolu/Fermé
Utilisateur anonyme
-
3 mai 2016 à 22:43
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 - 22 mai 2016 à 00:16
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 - 22 mai 2016 à 00:16
A voir également:
- Interface Python pour un site
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Site pour vendre des objets d'occasion - Guide
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site pour partager des photos - Guide
2 réponses
Utilisateur anonyme
8 mai 2016 à 11:28
8 mai 2016 à 11:28
Soit, je remonte un peu le sujet au cas où mais j'ai implémenté ce qu'il fallait moi même.
Sugel
Messages postés
4076
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
726
8 mai 2016 à 14:38
8 mai 2016 à 14:38
tu n'a pas besoin de chiffrement, mais d'authentification.
de base, ça me semble être une mauvaise idée de faire un pannel déporté comme ça, ça implique que tu expose ta base de donnée, tu devrais plutôt faire un pannel d'admin web et installer un pannel d'admin, c'est bien moins lourd.
Si tu persiste, tu peux juste décider d'installer un secret partagé et vérifier l'intégrité de tes messages avec hmac, ou bien de t'authentifier de manière plus classique derrière du chiffrement.
de base, ça me semble être une mauvaise idée de faire un pannel déporté comme ça, ça implique que tu expose ta base de donnée, tu devrais plutôt faire un pannel d'admin web et installer un pannel d'admin, c'est bien moins lourd.
Si tu persiste, tu peux juste décider d'installer un secret partagé et vérifier l'intégrité de tes messages avec hmac, ou bien de t'authentifier de manière plus classique derrière du chiffrement.
Bonjour,
La page d'API vérifie que l'on est autorisé via une méthode POST où elle compare un mot de passe, c'est donc bien de l'authentification avant tout (l'utilisateur de l'application doi entrer sa clé d'API), et sans ça, aucun accès à l'API. Seules les fonctions limitées sont présentées, ce n'est pas la base de données qui est exposée mais uniquement ce que j'ai choisi d'exposer. La partie chiffrement permet de garantir que l'échange entre l'application et l'API est sécurisé, un peu comme du SSL mais personnalisé.
Ma méthode est similaire aux API que Google ou d'autres mettent à disposition en Python pour leurs services. Avoir une interface de programmation permet un contrôle bien plus fin, avec la possibilité de créer des scripts etc.
La page d'API vérifie que l'on est autorisé via une méthode POST où elle compare un mot de passe, c'est donc bien de l'authentification avant tout (l'utilisateur de l'application doi entrer sa clé d'API), et sans ça, aucun accès à l'API. Seules les fonctions limitées sont présentées, ce n'est pas la base de données qui est exposée mais uniquement ce que j'ai choisi d'exposer. La partie chiffrement permet de garantir que l'échange entre l'application et l'API est sécurisé, un peu comme du SSL mais personnalisé.
Ma méthode est similaire aux API que Google ou d'autres mettent à disposition en Python pour leurs services. Avoir une interface de programmation permet un contrôle bien plus fin, avec la possibilité de créer des scripts etc.
fiddy
Messages postés
11069
Date d'inscription
samedi 5 mai 2007
Statut
Contributeur
Dernière intervention
23 avril 2022
1 844
9 mai 2016 à 18:32
9 mai 2016 à 18:32
Bonjour,
Pourquoi ne pas utiliser un tunnel TLS ?
Sinon pour le chiffrement, peu importe. Les deux possèdent des bibliothèques relativement bien fournies (AES par exemple).
Pourquoi ne pas utiliser un tunnel TLS ?
Sinon pour le chiffrement, peu importe. Les deux possèdent des bibliothèques relativement bien fournies (AES par exemple).
Sugel
Messages postés
4076
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
726
9 mai 2016 à 21:07
9 mai 2016 à 21:07
comme du ssl mais personnalisé ?
à partir du moment où tu essaie de faire de la crypto toi-même, c'est forcément cassé.
évite de faire ça, la solution de fiddy est pertinente.
à partir du moment où tu essaie de faire de la crypto toi-même, c'est forcément cassé.
évite de faire ça, la solution de fiddy est pertinente.
Je n'ai pas dit vouloir inventer un algo de crypto (ceci dit au cas où j'ai suivi des cours pour ça :) ), ce sera un chiffrement AES ou quelque chose du style, je voulais m'assurer de disposer de fonctions entièrement compatibles. Des langages de programmation fournissent bien sûr des fonctions de crypto, mais les implémentent de façon propre et parfois incompatibles.
Je vais mettre le sujet en résolu. Je voulais peut être avoir un peu des avis autres, j'aime les suggestions aussi, utiliser du SSL impose d'avoir un certificat etc par exemple, par contre sécuriser sa communication de manière personnalisée permet de traiter tous les cas de figure.
Je vais mettre le sujet en résolu. Je voulais peut être avoir un peu des avis autres, j'aime les suggestions aussi, utiliser du SSL impose d'avoir un certificat etc par exemple, par contre sécuriser sa communication de manière personnalisée permet de traiter tous les cas de figure.
fiddy
Messages postés
11069
Date d'inscription
samedi 5 mai 2007
Statut
Contributeur
Dernière intervention
23 avril 2022
1 844
10 mai 2016 à 19:29
10 mai 2016 à 19:29
Je n'ai pas dit vouloir inventer un algo de crypto (ceci dit au cas où j'ai suivi des cours pour ça :)
Je doute que des cours soient suffisants pour l'implémentation d'un algorithme sûr :-).
utiliser du SSL impose d'avoir un certificat etc par exemple, par contre sécuriser sa communication de manière personnalisée permet de traiter tous les cas de figure.
Oui. Mais au moins, tu assures l'authentification et la confidentialité grâce au TLS.
Je doute que des cours soient suffisants pour l'implémentation d'un algorithme sûr :-).
utiliser du SSL impose d'avoir un certificat etc par exemple, par contre sécuriser sa communication de manière personnalisée permet de traiter tous les cas de figure.
Oui. Mais au moins, tu assures l'authentification et la confidentialité grâce au TLS.