Jump to content
  • 0

login pour un client final pas un filemaker user


Question

bonjour à tous,

 

Ceci est certainement basique pour vous mais je suis encore pas sûr à 100 % du parcours. J'ai cherché sans trop trouver d'exemples montrant exactement ce parcours pour les clients

 

une database

des clients qui ont chacun des enregistrements avec comme champs email, password nom famille

 

Pour me connecter en admin avec api et token c'est ok.

mais je suis entrain de réaliser un site pour faire un espace client  ou chaque client peut se connecter et voir ses informations.

comment faire juste pour qu'un client puisse se logger et accéder à ses informations et que à elles ?

Je voudrais utiliser l'email dans la base de donnée et le password et le nom de famille pour vérifier les identifiants de login.

 

et utiliser une password identique pour tous les clients lors de la première connexion qu'ils doivent changer ensuite.

 

dois-je faire comme cela ?
se connecter en admin.

récupérer un token

envoyer les information email /password/

si ces infos sont justes alors afficher les données

si fausse message erreur et effacer le token ?

 

COmment faire sans devoir se connecter en admin à la base ?

 

Merci bcp pour votre aide sur le scénario.

 

Antoine

 

 

 

 

Link to post
Share on other sites

2 answers to this question

Recommended Posts

  • 0

Bonjour,

 

Il faut construire un formulaire (html/PHP/JS) puis aller comparer ces données dans la base FileMaker.

L'utilisateur "API" interrogeant la base reste le même (en lecture seulement et seulement sur les modèles désirés). Si les informations de connexions sont fausses alors aucun enregistrement ne sera trouvé, dans ce cas afficher un message d'erreur.

Ne pas supprimer le token de connexion à la data API, par défaut un "token data API" est valide 15 minutes sur un FileMaker Server et nous n'avons aucun moyen (RGPD like) qui nous permette de clôturer une connexion.

Sécurité :

  • Ne pas créer de mot de passe identique mais bien des mots de passe généré aléatoirement
  • Chiffrer les mots de passe (RGPD), un petit SHA512 à minima me parait approprié
  • Ne pas donner d'indications au hacker (type: "votre email est bon mais pas le mot de passe")
Link to post
Share on other sites
  • 0

Non, mais il faut vraiment arrêter avec les mots de passe par défaut : ce n'est pas une bonne solution.

Au niveau complexité du mot de passe, il faut un mot de passe long, avec des caractères spéciaux, des chiffres, des minuscules et des majuscules.

Au niveau stockage du mot de passe, il ne faut pas le stocker en clair et il faut faire un hash avec sel et répeter ce hash à plusieurs reprises.

Le mot de passe doit être généré aléatoirement et par exemple envoyé par mail : l'utilisateur devra le changer lors de la première connexion.

 

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...