Découverte - Tester l'accès au service web avec le navigateur
Afin de tester si vous avez correctement configuré votre accès au service web, vous allez accéder à la page http://Ma clé d'[email protected]/api/ avec votre navigateur. "Ma clé d'authentification" est à remplacé par votre clé.
Une autre méthode est d'accéder directement à la page suivante : http://maboutique.com/api/
Celle ci devrait vous demander un identifiant ainsi qu'un mot de passe, l'identifiant à rentrer est la clé d'authentification et il n'y a pas de mot de passe.
Vous accédez alors à la liste des ressources que vous avez configuré dans votre back-office avec l'ensemble des permissions accordées.
À l'aide de "XLink", vous allez pouvoir accéder à vos différentes ressources.
Qu'est-ce que "*XLink"* ?
Xlink permet d'associer un fichier XML à un autre fichier XML via un lien.
Dans la balise customers, vous devriez obtenir ces attributs :
<customers xlink:href="http://maboutique.com/api/customers" get="true" put="true" post="true" delete="true" head="true">
les attributs get, put, post et delete ont comme valeur "true" (vrai), ce qui signifie que vous avez bien configuré la ressource "customers" et qu'elle est accessible.
Vous pouvez désormais utiliser le "XLink" qui pointe sur l'URL "http://maboutique.com/api/customers" et vous y rendre.
Une fois la liste des clients affichée via "http://exemple.com/boutique/api/customers", vous pourrez accéder aux XLink correspondant à chacun des clients.
Exemple
Le fichier XML situé dans "http://maboutique.com/api/customers/1" dont on retrouve le lien dans l'ensemble des clients (cf. : lien précédent) vous donnera les propriétés du client ayant pour ID 1.
Ainsi vous naviguez dans le service web pour accéder à toutes les ressources en XML.
3 Comments
Anonymous
Bonjour,
A mon avis, l'authentification Basic avec la clé dans l'URL n'est pas assez sécurisée pour exposer son e-commerce sur le web.
Si vous donnez des accès en lecture, le risque est négligeable. Par contre, si vous utilisez le webservice pour un accès total à votre e-commerce, il faut sécuriser les accès avec d'autres moyens. Dans un premier temps, il serait plus judicieux d'utiliser SSL pour crypter les échanges du webservice (HTTPS). D'autres mécanismes de sécurité peuvent également être mis en place.
Arnaud Lemercier
http://www.wixiweb.fr/
Anatole Korczak
Bonjour,
Nous sommes bien conscient de ces dangers, une attaque de type MITM exposerait la clé, nous avons déjà mis en place un avertissement dans le back-office, vous pouvez activer le SSL aisément.
Si vous êtes dans le réseau de votre entreprise, que vous hébergez un serveur en interne et que le webservice ne vous sert qu'en interne, seul une intrusion du réseau de l'entreprise deviendrait une faille, le back-office est pour comparaison bien moins sécurisé toujours si le SSL n'est pas activé.
Nous sommes bien conscient des problèmes de droits, vous devez ajuster finement vos droits et c'est pour ça que vous avez cette possibilité.
Cordialement,
Anatole KORCZAK
Anonymous
Bonjour,
Ne peut-on pas simplement jouer avec le .htacess d'apache afin de limiter les IPs qui peuvent acceder au service ?
Mike Castro Demaria
Supersonique Studio