Il existe depuis HRv7 la possibilité de transmettre les paramètres d'authentification dans l'URL de connexion (on dit que l'on utilise une méthode de type "GET"). Exemple :
http://1.2.3.4:5678/hra-space/portal/?loginid=DIGIX&password=MON_PASSWORD
Il est aussi possible d'indiquer à OpenHR quel module d'authentification utiliser en ajoutant le paramètre loginModuleHint=MON_HINT
Cette méthode est à éviter car les identifiants de connexion vont être visibles dans l'historique de votre navigateur, dans les traces réseau mais aussi dans les logs des serveurs Web.
Ci dessous un extrait du access_log Apache :
1.2.3.126 - - [25/Jul/2013:11:12:19 +0200] "GET /hra-space/portal/?loginid=DIGIX&password=MON_PASSWORD
Le paramètre "login.allow_get_method" de l'objet topologie système "HRS" permet depuis la 7.30.30 d'accepter (ou non) les requêtes d'authentification utilisant une méthode GET. Par défaut placez ce paramètre à "Non".
Noter que l'on peut trouver des extensions pour générer des requêtes de type POST avec son navigateur (exemple : Bookmark Post sous Firefox)
RépondreSupprimerLes bulletin de paie
RépondreSupprimer