Un livre blanc qui analyse le sujet de l'authentification de l'accès web dans le cadre des applications.
"Pourquoi l’authentification et le contrôle d’accès ne devraient pas être gérés par les applications Web ?
Durant le développement d’une application Web, toute erreur de conception dans la gestion de l’authentification peut permettre de contourner le mécanisme d’authentification.
Récemment, une application Web bien connue fut exposée à une faille de sécurité. Elle était sécurisée par une authentification forte à deux facteurs. Malheureusement, il était possible de la contourner grâce à une API Web utilisée par la version mobile de l’application.
De nouveaux « designs patterns » permettent de développer sans distinction des applications Web et des applications mobiles, en utilisant des API qui exposent les mêmes fonctionnalités pour les deux mondes. Dans les deux cas, l’authentification et le contrôle d’accès doivent être correctement adaptés et gérés. Il doit être impossible de contourner les sécurités mises en place."
