Nous avons une API qui sera seulement utilisée par notre nouveau site Web pour le moment. Je voudrais avoir une idée de ce que pensent les stackoverflowers de la sécurité en place pour cette API.Web Service Security
1) SSL protégé
2) Lors de la connexion, est envoyé ainsi que l'utilisateur et mot de passe "IP" de l'utilisateur. L'API est ensuite attachée à la session et le jeton de session est renvoyé. Chaque fois que l'appel suivant est effectué, l'ID utilisateur, la session et l'ip sont passés. Ensuite, l'ID utilisateur est vérifié avec la bonne sessiontoken et ip et si c'est bon alors la méthode est effectuée.
3) Le webservice lui-même est protégé pour autoriser l'accès uniquement à partir de l'ip sur lequel le serveur est hébergé.
Merci, Faisal Abid
Mon mauvais, je voulais dire "IP" :) –