Bonjour,
Dans le cadre du développement d'une application mobile utilisant le Framework IONIC ( Et du coup AngularJS) je dois développer une API permettant aux utilisateurs de se connecter, de s'inscrire et d'acceder aux differents elements de l'application !
Tout fonctionne parfaitement mais l'API n'est pas du tout sécurisée...
Pour le moment, il y a un système de Token pour gérer l'utilisateur qui se renouvelle à chaque connexion ( J'ai entendu dire qu'il faut aussi la faire expirer au bout de X temps pour éviter des problèmes de type "Man in the middle", si vous avez plus d'infos ça serait sympa :) !
Mais actuellement, n'importe quoi possédant l'adresse de l'API peut effectuer des requêtes du moment qu'il possède le token de l'utilisateur... Je voudrais donc savoir comment sécuriser cette partie pour éviter des problèmes futurs.
Les infos qui transites :
Login (Numéro de téléphone, mot de passe ) et retourne son token ainsi que le statut
Register (Toutes les infos que l'utilisateur doit inscrire ) retourne un statut
Bon et après il y a une floppé de données pas forcement sensible à part l'email , le numero de telephone et le solde du porte-monnaire ( Qui peut-être dépensé )
J'ai entendu parlé de OAuth1 , OAuth2 mais j'ai l'impression que le processus est super lourd... Alors si vous avez des idées un peu plus légère et sécurisante, je suis preneur :) !
Merci !
down-lad