Encoder mot de passe dans l'appel /loginservice

1
0
-1

Bonjour,

J'ai beau chercher dans la documentation mais pas moyen de trouver ma réponse, qui pourtant me parait être incontournable.

J'utilise l'URL /loginservice?username=monusername&password=monpassword&redirect=false&redirectUrl= pour créer une session entre mon appli Web et Bonita.

J'aimerais éviter que le mot de passe sois envoyé en clair dans l'URL, donc j'aimerais savoir s'il est possible d'envoyer le mot passe haché en md5, sha1, etc...

Merci d'avance de votre aide,

Cordialement,

Sylvain

Comments

Submitted by g.lapierre on Thu, 03/03/2016 - 15:20

Bonjour
Avez-vous essayé de faire un appel POST à la place d'un appel GET ?

Submitted by sylvain.jeandroz on Thu, 06/09/2016 - 11:26

Bonjour,
Pardon je n'avais jamais vu votre message jusqu'a aujourd'hui...
Effectivement un appel POST permet de ne plus avoir directement le mot de passe dans l'URL, par contre il est toujours envoyé en clair dans la requete.
EN tous cas je vous remercie de votre réponse

Submitted by g.lapierre on Thu, 06/09/2016 - 13:06

Problème qui se résout en activant le protocole https au niveau de tomcat ou d'un reverse proxy.

Submitted by sylvain.jeandroz on Thu, 06/09/2016 - 14:17

Effectivement c'est quelque chose de déjà en place sur mon environnement, mais c'est mon coté paranoïaque qui fait que je n'aime pas voir des mots de passe en clair depuis le navigateur, même si effectivement entre le client et le serveur tout est encodé.
Merci beaucoup pour vos réponses.
Cordialement

Submitted by g.lapierre on Thu, 06/09/2016 - 15:42

La paranoïa c'est bien :-)
Le SSL n'est pas infaillible les attaques récentes comme POODLE l'ont amplement démontré et on peut très bien avoir des attaques man in the middle même en SSL. Mais tant que Bonita ne permettra pas un système d'authentification différent c'est le mieux que l'on puisse faire.

No answers yet.
Notifications