AnsweredAssumed Answered

Gestion de l'authentification depuis une application front tiers

Question asked by mlagneaux on Aug 11, 2016
Bonjour,

Je travaille sur le développement d'une application web tiers s'appuyant sur Alfresco Repository (en Community 5.1). On peut voir cette application comme un complément/équivalent à Share.

Je me pose différentes questions concernant la gestion de l'authentification depuis cette application tiers.

Pour le moment, ma page de login déclenche un appel au webscript natif /alfresco/s/api/login. Ce webscript retourne un ticket (que je stocke dans le sessionStorage pour le moment) ; j'utilise ce ticket dans chaque requête vers Alfresco en ajoutant à la fin de chaque URL "&alf_ticket=[mon ticket]".

Cela fonctionne mais différentes choses me gêne :
- je dois récupérer mon ticket en JS pour venir concaténer le paramètre alf_ticket à chacune de mes requêtes HTTP vers Alfresco
- le ticket apparaît en clair dans l'URL que j'appelle : ça ne me paraît pas terrible niveau sécurité

Y a-t-il des best practices à appliquer pour interroger Alfresco depuis une appli web tierce ? Quelqu'un a-t-il déjà essayé de faire et comment ?
J'ai vu que Share s'appuie sur différents cookies dont le cookie JSESSIONID qui est associé au chemin /alfresco. Faudrait-il plutôt utiliser ce cookie plutôt que le alf_ticket ? Si oui, comment le récupérer ?

Merci d'avance pour votre aide.

Outcomes