|
|
La problématique de sécurité des services web est une problématique vaste qui
couvre de nombreux aspects, comme :
- Authentification
- Autorisation
- Cryptage
Les normes associées au services web s'appellent :
Les problématiques associées à la sécurité sont de plusieurs natures. Elles sont liées
au fait qu'aucun standard n'est suffisemment mature, ni vraiment reconnu par un nombre
suffisamment d'acteurs. Elles sont également liées au fait que pour identifier et
autoriser un ensemble d'utilisateurs, il faut qu'ils soient référencer de manière commune.
Pour régler ces problèmes, on constate deux approches :
- l'approche expérimentale qui consiste à utiliser des standards émergent sans
garantie de l'interopérabilité des systèmes ou de la facilité d'implémentation
- l'approche pragmatique qui consiste à utiliser les standards reconnus des couches qui
sous-tendent les services web, mais qui ne garantissent pas l'interopérabilité des services
web sur l'ensemble des protocoles possibles
Dans cet exemple, on a utiliser les capacités de HTTP à fournir une couche de sécurité à
travers les mécanismes d'authentification basique (username/password). On peut de la
même façon sécuriser les services web implémentés sur HTTP en utilisant les infrastructures
web à clé public (PKI), le cryptage SSL...
Dans la plate-forme Oracle, l'implémentation de cette sécurité se fait au niveau des
mécanismes JAAS (Java Authentification and Authorization Service) du conteneur
J2EE intégré aux LDAP d'entreprise, à des fichiers de resources XML ou extensible
via un PAM (Pluggable Authentification Module) à n'importe quelle source d'authentification
et autorisation. Il est également possible d'utiliser SSL au niveau du listener HTTP
et de l'intégrer dans une infrastructure PKI.
|
|