Appli mobile et Token

Bonjour,

Je suis actuellement en train de développer une API rest en suivant le tuto mais j’ai encore un peu de mal avec quelques aspects sur la sécurisation et aimerai avoir quelques éclaircissements..

J’aimerai faire une application android qui vient taper dans le webservice, mais du coup je me posais la question par rapport au token, peut être que c’est juste mon amateurisme mais je ne vois pas comment cela fonctionne. Quand on installe une appli, on créer son compte ou on se connecte, du coup la ok on fait un appel pour créer un token et avoir accès aux ressources, mais apres en générale une fois qu’on est connecté sur l’appli on ne nous demande pas de se connecter à chaque fois qu’on l’a lance,du coup comment ça se passe pour régénérer un token ?

En espérant que j’ai été assez clair!

Cordialement,

La plupart du temps, les API utilisent Oauth2. Tu dois pouvoir trouver quelques choses pour t’y conseiller. Je ne m’y connais pas assez pour te proposer un lien.

Tu n’as pas un framework pour t’aider à faire une API et à gérer tout ça pour toi ?

Ensuite tu as les limitations (nombre maximum de requête).

En fait à la connexion l’API t’envoie le token (bearer) comme résultat, avec un refreshToken et une expiration (date de validité du bearer) en prime.

Ton refreshToken te servira à taper régulièrement sur un endpoint spécifique pour mettre à jour le bearer (sous réserve qu’il soit encore valide) que tu devras alors remplacer en local.

Comme le conseille A-312, regarde du côté d’OAuth2 pour avoir des exemples. C’est le protocole le plus répandu et le plus documenté pour une mise en place Web, avec pas mal de plugins disponibles pour les plus gros frameworks/langages.