Les échanges de services Web achoppent de la même façon que tout autre échange réticulaire sur les problèmes d’authentification, d’intégrité et, de manière plus générale, de sécurité. C’est pourquoi quatorze développeurs issus d’IBM, de Microsoft et de Verisign ont planché sur le sujet pour livrer une première proposition, sobrement baptisée Web Services Security (WS-Security).Le cahier des charges de ce langage dans sa version 1.0 comporte la mise en place d’une politique de sécurité par jetons de sécurité SOAP, l’utilisation de techniques de chiffrement et la confidentialité des messages d’un bout à l’autre de la chaîne avec, à la clé, la mise en oeuvre de signatures électroniques.Pour les jetons, il est désormais possible de coder dans l’en-tête du message Soap le certificat utilisé (ticket kerberos, x-509 ou autre) ainsi que l’identité de l’utilisateur avec un mot de passe. En conjonction avec ce jeton, les développeurs ont mis au point un mécanisme de signatures multiples, hors de l’en-tête Soap. Une précaution utile dans le cas ou un message transite, par exemple, entre plusieurs services (facturation, comptabilité…) et où chaque intervenant ajoute sa signature.Ce code, fondé sur XML Signature, utilise les spécifications du W3C. Tout comme le standard XML Encryption utilisé pour chiffrer et déchiffrer les messages en utilisant un échange de clé symétrique.IBM est le premier à appliquer ces spécifications dans la version 3.1 de Web Services Toolkit, disponible en téléchargement sur le site AlphaWorks. Outre ces spécifications de sécurité, ce kit de développement comprend un explorateur WSDL pour générer automatiquement une interface d’invocation de services Web, ainsi qu’un moteur de recherche complexe vers des annuaires UDDI.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
