Slides web services Sécurité en ingénierie du Logiciel Le cadre des Web Services Partie Authenti ?cation Alexandre Dulaunoy adulau foo be Sécurité en ingénierie du Logiciel ?? p CAgenda Introduction Authenti ?cation HTTP HTTP Basic HTTP Digest Authenti ?c

Sécurité en ingénierie du Logiciel Le cadre des Web Services Partie Authenti ?cation Alexandre Dulaunoy adulau foo be Sécurité en ingénierie du Logiciel ?? p CAgenda Introduction Authenti ?cation HTTP HTTP Basic HTTP Digest Authenti ?cation X SSL Authenti ?cation Services Web applicative Conclusion Exemples Sécurité en ingénierie du Logiciel ?? p CIntroduction Authenti ?cation et Services Web L ? authenti ?cation utilisateur est le processus pour véri ?er l ? authenticité d ? un utilisateur Utilisateur peut être une entité Plusieurs approches dif ?cile de choisir Questions de compatibilité entre browser serveur Persistances de l ? authenti ?cation Sécurité de l ? authenti ?cation Sécurité en ingénierie du Logiciel ?? p CAuthenti ?cation HTTP HTTP est stateless cf cours Authenti ?cation HTTP - RFC Basic et Digest Access Authenti ?cation Valide pour les Web Services utilisant HTTP mais aussi pour toutes communications HTTP Sécurité en ingénierie du Logiciel ?? p CHTTP Basic L ? authenti ?cation Basic est basée sur le principe le client doit s ? authenti ?er pour chaque realm Le realm est une valeur opaque realm WallyWorld La chaine d ? authenti ?cation est au format Authorization Basic p ex Authorization Basic QWxhZGRpbjpvcGVuIHNlc FtZQ encodée en Base Sécurité en ingénierie du Logiciel ?? p CHTTP Basic exemple Le client émet une requête GET admin HTTP Le serveur répond avec une entête header WWW-Authenticate HTTP Authorization Required WWW-Authenticate Basic realm Admin Password Le client suite à la saisie d ? un password émet une nouvelle requête avec GET admin HTTP Authorization Basic QWxhZGRpbjpvcGVuIHNlc FtZQ Sécurité en ingénierie du Logiciel ?? p CHTTP Digest Pour résoudre plusieurs problèmes de HTTP Basic L ? interception du password Le rejeu possible replay attack La véri ?cation du client ET du serveur Le stockage des password sur le serveur La véri ?cation de l ? URI Sécurité en ingénierie du Logiciel ?? p CHTTP Digest L ? authenti ?cation Digest est basée sur le principe challenge response Le serveur envoie un challenge au client pour chaque realm Une fonction de hashage est utilisée dans le cadre du challenge response pour ne pas divulguer le secret partagé Apache modauthdigest Sécurité en ingénierie du Logiciel ?? p CHTTP Digest Calcul request-digest KD H A unq nonce-value nc-value unq cnonce-value unq qop-value H A KD secret data H concat secret data A unq username-value unq realm-value passwd A Method digest-uri-value Sécurité en ingénierie du Logiciel ?? p CHTTP Digest Exemple Le client émet une requête GET admin HTTP Le serveur répond avec une entête header WWW-Authenticate HTTP Unauthorized WWW-Authenticate Digest realm testrealm host com qop auth nonce dcd b dd f e b d f bfb c opaque ccc c ebaf f e f e Sécurité en ingénierie du Logiciel ?? p CHTTP Digest Exemple Le client répond après le calcul de response Authorization Digest username Mufasa realm testrealm host com nonce dcd b dd f e b d f bfb c uri admin qop auth nc cnonce a f b response fae a

  • 35
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Fev 24, 2021
  • Catégorie Administration
  • Langue French
  • Taille du fichier 38.2kB