Solution pour le back-office d'une appli Mobile

[CM63]

Bonjour,

Cela fait plusieurs mois, que dis-je, plusieurs années que je recherche une solution satisfaisante pour faire le "back-office", ou "back-end" , d'une appli Mobile que je développe.

"Back-office" ou "back-end : système sur serveur, où se connecte l'appli, et où les données de l'utilisateur sont stockées. Ce qui rend l'appli "nomade" : s'il crache son Smartphone, il n'aura qu'à installer l'appli sur son nouveau Smartphone, et il récupérera ses infos sur son compte sur le back-end (c'est ce qui se passe par exemple avec les applis des banques).

"solution satisfaisante" : facile à utiliser mais ne dépendant pas des GAFAM. Par exemple Firebase ça a l'air facile à utiliser, mais ça dépend d'un GAFAM, donc c'est niet. Moi je verrais bien un truc sous Php+MySql que j'installerais moi même chez mon fournisseur d’infrastructure (de Roubaix). Pour parler d'une techno que je connais, mais bon, si faut faire du Node.js ou du Python, je peux aussi, à condition que ça soit aussi facile à installer (ce qui n'est pas gagné, d'après ce que j'ai lu jusqu'à présent). Connaîtriez-vous une solution simple de ce genre?

J'ai regardé Laravel et les api REST, mais après plusieurs heures de lecture des docs, je suis largué, rincé... dépassé. Je recherche une doc limpide, buvable. J'ai regardé par exemple ce que fait le html lorsqu'on fait une requête GET ou POST. Bon, ok, je vois ce qu'on fait pour transformer cette requête en interrogation de la base de donnée, et comment on renvoie la réponse. Mais comment fait-on pour faire cela depuis l'appli Mobile? Et comment gérer la connexion: faire en sorte que l'appli Mobile n'ait accès qu'aux données de l'utilisateur et pas à toute la base? Une doc simple.............

En ce qui concerne le développement de l'appli elle-même, après, là aussi, des mois de galère, j'ai fini par trouver la solution de la mort qui tue : appgyver , c'est vraiment super, j'ai développé mon appli pratiquement sans écrire une ligne de code, uniquement par glissés de boîtes. Puis en ajustant quelques paramètres tels que des attributs graphiques. Je n'ai écrit en tout et pour tout qu'environ une page de Javascript. Et je dispose d'une appli multi-plateforme : PC ou Mac, Smartphone ou Iphone, Tablette Android ou Ipad. C'est vraiment spectaculaire, faites l'essai.

Il y a une très bonne doc et des tutos très bien faits. Mais quand on passe au back-end, ils ne proposent que 3 solutions :
- Firebase,
- Goggle-machin (j'ai oublié le nom),
- programmer toi-même en regardant l'API REST

Les deux premières solutions ne me conviennent pas car elles dépendent des GAFAM, la troisième non, mais là je suis largué-noyé. Merci de votre aide ou de vos propositions
-----

[CM63]

Je suis en train de regarder la solution appspanel : j'avais déjà regardé cette solution il y a quelques temps, j'avais été largué, mais depuis, il me semble que je maîtrise mieux certains concepts qu'à l'époque, donc je regarde à nouveau.

[CM63]

J'ai arrêté de regarder appspanel, je n'étais d'ailleurs pas allé très loin. Ensuite, j'ai regardé "en parallèle" cakePHP et Django, en passant de l'un à l'autre à chaque fois que je voyais un blocage ou une difficulté. Finalement j'ai opté pour Django, je suis en train de le regarder à fond. Je pense que ça va le faire.

[Merlin95]

Je peux te décrire un peu le REST ici si tu veux. Ou si tu as des questions précises. C'est pas si compliqué.

[A voir en vidéo sur Futura]

[CM63]

Je te remercie, je reviendrai vers toi si j'ai un problème.

[CM63]

Je continue à lire la doc de Django, c'est super, bon ok, là en revanche il faut coder, mais c'est du Python, je connais, et les choses sont quand même bien déjà "empaquetées", avec des modules divers et variés. J'ai fait les exemples proposés, je comprends le principe.

Pour l'instant je ne suis pas encore arrivé à la partie où on parle de la connexion utilisateur, depuis l'API REST: comment faire en sorte que l'utilisateur n'ait accès qu'à ses données? Dans l'appli web, c'est évident, car il y a un contexte de connexion, et ensuite l'appli interroge directement la base de données depuis le serveur. Donc elle peut filtrer par le contexte utilisateur. Mais dans l'API REST, depuis l'extérieur, potentiellement je peux interroger n'importe quoi (dans le cadre de ce que permet l'API), mais par contre, là, il n'y a pas de contexte utilisateur, comment ça se passe?

Je pense que je vais arriver à cette partie dans quelques temps, mais je prends les devants, @Merlin95 si tu as des éléments? Merci.

[Merlin95]

On peut compliquer mais l'utilisateur s'authentifie avec son mot de passe et son nom d'utilisateur. Le serveur vérifié et si ok génère un token qui est renvoyé au client, celui si doit le placer dans les headers de toutes les requêtes privées. On peut mettre le token dans les headers de la session ainsi il sera envoyé à chaque requête ou même dans un cooky je pense.

[Merlin95]

Voici un exemple en json web token en python assez bien expliqué même s'il faut un peu connaître la programmation avec les annotations par exemple.

https://geekflare.com/fr/securing-fl...-with-jwt/amp/

[CM63]

Ok, merci pour cette doc. J'ai commencé à la lire, ça semble bien répondre à ma question, au pire j'y reviendrai, si la doc que je lis de Django n'en parle pas ou si je ne comprends pas.
Merci beaucoup, en fait c'est traduit de l'anglais puisqu'il y a des "abandonnées charrettes" , mais bon, ça a l'air bien traduit quand même.

[CM63]

Je commence à aborder les sessions. Sur cette page, on nous présente certain types de mécanisme de sessions, en nous expliquant succinctement les avantages et les inconvénients. Celles qui est présentée la dernière est la session "basée sur les cookies", c'est la plus connue il me semble, au point que croyais qu'il n'y avait que celle là qui existait, je ne connaissais pas les autres. Mais ça me paraît aussi la plus vulnérable. @Merlin95 quel est ton avis, laquelle conseille-tu?

Quelqu'un qui copie tes cookies (bon ok faut déjà le faire) peut se faire passer pour toi après que tu te soit déconnecté.

[CM63]

Je m'aperçois que j'ai oublié de mettre le lien sur la page de la doc de Django dont je te parle dans le précédent post, mais epu importe, j'ai lu de la doc plus générale, , par exemple cette page , où ils disent que pour une application web+Mobile il vaut mieux utiliser l'authentification basée sur un API-Token avec stockage du token dans les cookies , c'est bien ça?

[Merlin95]

Oui fondamentalement le session id dans le cooky ou un token ça répond à la même question : "qui es-tu ?" Mais avec les tokens tu n'as pas d'id en mémoire, on s'acquitte juste de qui vous êtes au moment de chaque requête c'est plus naturel. Après concrètement comment le token est "stocker" côté client et les aspects plus pointus niveau sécurité j'en sais pas plus. Désolé.

[pm42]

Je m'aperçois que j'ai oublié de mettre le lien sur la page de la doc de Django dont je te parle dans le précédent post, mais epu importe, j'ai lu de la doc plus générale, , par exemple cette page , où ils disent que pour une application web+Mobile il vaut mieux utiliser l'authentification basée sur un API-Token avec stockage du token dans les cookies , c'est bien ça?

Oui. J’ai déjà utilisé cette solution (token jwt dans un cookie ou en stockage local) et c’est bien documenté.
Ce n’est pas parfait côté sécurité mais rien ne l’est et c’est de toute manière un vaste sujet.

Il faut aussi que tu prennes en compte que cela complique les tests sauf à avoir un mode sans sécurité, ce qui se discute, ou à utiliser des outils adaptés.

[polo974]

bonjour,

je ne sais pas si tu as vu https://www.django-rest-framework.org/
ça doit pouvoir t'aider...

https://www.django-rest-framework.or...uthentication/

[CM63]

Merci Polo974, je suis en train de regarder cela.