Comment gérer les tokens reçus ainsi que les identifiants

Faut pas trop faire de conneries avec ces machins...

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Salut,

Je ne sais pas trop quoi faire des tokens des clients que me donne ZDS lorsque l'application ne fonctionne pas. Doit-on les chiffrer et les stocker ? Ou Doit-on en re-demander à chaque connection ?

Merci pour vos réponses ;)

+1 -0
Auteur du sujet

des tokens des clients

Est-ce que tu parles des clés d'API ou du token d'authentification ?

Andr0

Enfaite les deux. Comment je dois les gérer au sein de l'application.

l'application ne fonctionne pas

Qu'est ce que tu veux dire quand l'app ne fonctionne pas ?

Andr0

Je veux dire par là quand elle n'est plus exécutée, qu'est que je fais des clés de l'api et du token client ?

+0 -0

Cette réponse a aidé l'auteur du sujet

Ok, alors en ce qui concerne les clés d'API, tu peux les enregistrer dans des constantes. Ce sont des données qui ne sont pas amenées à être modifiée mais si ton application est open-source, tu dois trouver un moyen pour ne pas les rendre publiques. Dans le cas contraire, n'importe qui pourra utiliser tes clés d'API et créer des tokens d'authentification en ton nom.

En ce qui concerne les tokens d'authentification, il ne faut pas le redemander à chaque connexion. En gros, tu demandes à l'utilisateur de rentrer son username/password sans sauvegarder ces informations, puis tu fais ta requête au serveur et tu récupères les tokens d'authentification que tu sauvegardes en base de données. Dans le futur, il te suffira de récupérer l'"access token" pour faire des requêtes authentifiées et le "refresh token" pour récupérer à nouveau un token d'authentification sans demander l'username/password de l'utilisateur.

En espérant que j'ai été clair dans mes explications.

+1 -0

Cette réponse a aidé l'auteur du sujet

En gros : le but de les conserver (une fois l'application éteinte) c'est d'éviter de redemander à l'utilisateur son login/mdp à chaque fois qu'il ouvre l'application. Mais :

  • sans stocker son mot de passe (forcément en clair… si tu devais refaire la requête à chaque fois)
  • en lui permettant de garder la main. S'il se fait voler une machine (sur laquelle il a installé ton application) ou s'il a des soupçons (token intercepté ?), il peut demander à ZdS de révoquer tous ses tokens.

Happiness is a warm puppy

+1 -0
Auteur du sujet

Salut,

Merci de m'avoir répondu ;)

Ok, alors en ce qui concerne les clés d'API, tu peux les enregistrer dans des constantes. Ce sont des données qui ne sont pas amenées à être modifiée mais si ton application est open-source, tu dois trouver un moyen pour ne pas les rendre publiques. Dans le cas contraire, n'importe qui pourra utiliser tes clés d'API et créer des tokens d'authentification en ton nom.

Andr0

Effectivement c'est très contraignant :)

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte