Comment gérer les tokens reçus ainsi que les identifiants

Faut pas trop faire de conneries avec ces machins...

Le problème exposé dans ce sujet a été résolu.

des tokens des clients

Est-ce que tu parles des clés d'API ou du token d'authentification ?

Andr0

Enfaite les deux. Comment je dois les gérer au sein de l'application.

l'application ne fonctionne pas

Qu'est ce que tu veux dire quand l'app ne fonctionne pas ?

Andr0

Je veux dire par là quand elle n'est plus exécutée, qu'est que je fais des clés de l'api et du token client ?

Ok, alors en ce qui concerne les clés d'API, tu peux les enregistrer dans des constantes. Ce sont des données qui ne sont pas amenées à être modifiée mais si ton application est open-source, tu dois trouver un moyen pour ne pas les rendre publiques. Dans le cas contraire, n'importe qui pourra utiliser tes clés d'API et créer des tokens d'authentification en ton nom.

En ce qui concerne les tokens d'authentification, il ne faut pas le redemander à chaque connexion. En gros, tu demandes à l'utilisateur de rentrer son username/password sans sauvegarder ces informations, puis tu fais ta requête au serveur et tu récupères les tokens d'authentification que tu sauvegardes en base de données. Dans le futur, il te suffira de récupérer l'"access token" pour faire des requêtes authentifiées et le "refresh token" pour récupérer à nouveau un token d'authentification sans demander l'username/password de l'utilisateur.

En espérant que j'ai été clair dans mes explications.

En gros : le but de les conserver (une fois l'application éteinte) c'est d'éviter de redemander à l'utilisateur son login/mdp à chaque fois qu'il ouvre l'application. Mais :

  • sans stocker son mot de passe (forcément en clair… si tu devais refaire la requête à chaque fois)
  • en lui permettant de garder la main. S'il se fait voler une machine (sur laquelle il a installé ton application) ou s'il a des soupçons (token intercepté ?), il peut demander à ZdS de révoquer tous ses tokens.
+1 -0

Salut,

Merci de m'avoir répondu ;)

Ok, alors en ce qui concerne les clés d'API, tu peux les enregistrer dans des constantes. Ce sont des données qui ne sont pas amenées à être modifiée mais si ton application est open-source, tu dois trouver un moyen pour ne pas les rendre publiques. Dans le cas contraire, n'importe qui pourra utiliser tes clés d'API et créer des tokens d'authentification en ton nom.

Andr0

Effectivement c'est très contraignant :)

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte