WS*


 Sécurité










Sécurité
La problématique de sécurité des services web est une problématique vaste qui couvre de nombreux aspects, comme :
  • Authentification
  • Autorisation
  • Cryptage

Les normes associées au services web s'appellent :
Les problématiques associées à la sécurité sont de plusieurs natures. Elles sont liées au fait qu'aucun standard n'est suffisemment mature, ni vraiment reconnu par un nombre suffisamment d'acteurs. Elles sont également liées au fait que pour identifier et autoriser un ensemble d'utilisateurs, il faut qu'ils soient référencer de manière commune.
Pour régler ces problèmes, on constate deux approches :
  • l'approche expérimentale qui consiste à utiliser des standards émergent sans garantie de l'interopérabilité des systèmes ou de la facilité d'implémentation
  • l'approche pragmatique qui consiste à utiliser les standards reconnus des couches qui sous-tendent les services web, mais qui ne garantissent pas l'interopérabilité des services web sur l'ensemble des protocoles possibles

Dans cet exemple, on a utiliser les capacités de HTTP à fournir une couche de sécurité à travers les mécanismes d'authentification basique (username/password). On peut de la même façon sécuriser les services web implémentés sur HTTP en utilisant les infrastructures web à clé public (PKI), le cryptage SSL...

Dans la plate-forme Oracle, l'implémentation de cette sécurité se fait au niveau des mécanismes JAAS (Java Authentification and Authorization Service) du conteneur J2EE intégré aux LDAP d'entreprise, à des fichiers de resources XML ou extensible via un PAM (Pluggable Authentification Module) à n'importe quelle source d'authentification et autorisation. Il est également possible d'utiliser SSL au niveau du listener HTTP et de l'intégrer dans une infrastructure PKI.