Bonjour tout le monde,
Je me permets de poster un message pour avoir votre avis sur la gestion de mon système d’authentification via Oauth ( google/facebook ) et quelques conseils de bonnes pratiques.
Pour poser un peu les bases du projets et etre clair : Nous réalisons avec deux autres étudiants pour notre projet de fin d’études une suite de gestion de commande pour un restaurateur.
L’idée est que sur une appli android les clients puissent passer des commandes et que sur une autre appli ( android tj) le restaurateur est donc la possibilité de consulter tout la liste de commande puis de définir différents états sur celles-ci comme accepté,prete,…
Plus une application web ( angular ) pour la gestion du catalogue par le restaurateur. Le tout étant lié bien sur par une jolie API Rest ou le tuto de ZDS m’a bien aidé !
Concernant l’inscription d’un administrateur,elle se fera par un "Super admin", moi par exemple, à travers un formulaire. Donc j’ai utilisé les Json Web Token avec le bundle LexikJwt, donc pas de soucis quand l’administrateur se connecte je lui retourne un Token ainsi qu’un refresh_token, ça me permet de sécuriser les appels avec l’api et de sécurisez les routes comme je veux avec le guard du bundle.
Maintenant pour la partie utilisateur, seule une connexion via google ou facebook est accéptée. Et c’est la ou j’aimerai avoir vos avis sur la bonne façon de procéder.
J’arrive bien à récupérer les infos des utilisateurs via les api google et facebook,et ce que je voudrais faire c’est une fois que l’application récupère le code d’autorisation, elle fasse un appel à mon Api qui se chargerait de :
- faire les échanges de code contre token puis ressource de l’utilisateur sur api google et facebook
- persist l’utilisateur en BDD ou le mettre à jour
- générer un token qui sera retourner au client android
Du coup, je n’utiliserai le systeme Oauth uniquement pour accéder aux infos de l’utilisateur, mais je garderais mon système de JWT déja mis en place avec l’admin.Pensez vous que c’est une bonne chose ou pas ?
De plus, coté android il va falloir obligatoirement passez par deux requêtes pour inscrire l’utilisateur une sur api réseau social, une pour notre API, encore une fois pensez que cela soit dérangeant ?
Merci pour les retours et conseils que vous pourrez m’apporter. Si je n’ai pas été assez claire sur des points n’hésitez pas à me demander !
Cordialement,