20 août 2013

URL HRaSpace pour se connecter en direct


Il existe depuis HRv7 la possibilité de transmettre les paramètres d'authentification dans l'URL de connexion (on dit que l'on utilise une méthode de type "GET"). Exemple :

http://1.2.3.4:5678/hra-space/portal/?loginid=DIGIX&password=MON_PASSWORD

Il est aussi possible d'indiquer à OpenHR quel module d'authentification utiliser en ajoutant le paramètre loginModuleHint=MON_HINT

Cette méthode est à éviter car les identifiants de connexion vont être visibles dans l'historique de votre navigateur, dans les traces réseau mais aussi dans les logs des serveurs Web.

Ci dessous un extrait du access_log Apache :
1.2.3.126 - - [25/Jul/2013:11:12:19 +0200] "GET /hra-space/portal/?loginid=DIGIX&password=MON_PASSWORD

Le paramètre "login.allow_get_method" de l'objet topologie système "HRS" permet depuis la 7.30.30 d'accepter (ou non) les requêtes d'authentification utilisant une méthode GET. Par défaut placez ce paramètre à "Non".

2 commentaires:

  1. Noter que l'on peut trouver des extensions pour générer des requêtes de type POST avec son navigateur (exemple : Bookmark Post sous Firefox)

    RépondreSupprimer