Anonymisation des Urls

Modifié par Aurelie Bertrand le 2025/05/15 16:23

Ce document décrit comment s'authentifier automatiquement dans les différents modules de DigDash Enterprise (tableaux de bord, pages de configuration) sans utiliser le paramètre pass.

Le principe est de demander, une fois authentifié, un jeton permettant lors de son utilisation de créer une nouvelle session basée sur celle demandée par la session courante.
Ce jeton permet de créer une session automatique sans avoir à spécifier le mot de passe de l'utilisateur.
Ce jeton est à usage unique, le même token ne peut être utilisé pour créer plus d'une session. Pour créer plusieurs sessions, plusieurs jetons sont nécessaires.

ℹ Le jeton est à usage unique mais n'a pas de durée de validité. Tant que la session initiale n'a pas expiré, le jeton est utilisable.

Effectuer la demande de jeton AuthToken

Il est possible de s'authentifier de 3 manières différentes pour effectuer la demande de jeton.

❗Le mot de passe doit être correctement encodé pour que l'URL fonctionne.

  • Via une autorisation basique :

     Avec curl en utilisant l'option -u : le mot de passe vous sera demandé après exécution de la requête.

    curl -u <user> http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthToken

    En spécifiant le header soi-même : la requête a la forme suivante :

    curl -H 'Authorization: Basic <base64(user:pass)>' http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthToken
  • Via un jeton JWT : 

    La demande de jeton s'effectue via une requête. Le jeton JWT (JSON Web Token) est spécifié dans l'en-tête HTTP pour s'authentifier.
    Ce jeton JWT est généré via l'API REST DigDash sans utilisateur cible défini (tagertUser). Consultez le paragraphe Créer un jeton JWT pour plus de détails.
    La requête a la forme suivante (exemple avec une requête curl) :

    curl -H "Authorization: Bearer <JWT>" "http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthToken"

     dans laquelle, <JWT> est à remplacer par le jeton JWT obtenu précédemment.

  • Via une clé API :
    La demande de clé API s'effectue via une requête. La clé API est spécifiée dans l'en-tête HTTP pour s'authentifier.
    Cette clé API est générée via l'API REST DigDash sans utilisateur cible défini (targetUser). Consultez le paragraphe Créer une clé API pour plus de détails.
    La requête a la forme suivante (exemple avec une requête curl) :

    curl -H "X-API-KEY: <apikey>" "http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthToken"

    dans laquelle, <apikey> est à remplacer par la clé API obtenue précédemment. 

Le paramètre method=newAuthToken permet au retour de l'url ou de la requête de récupérer le nouveau jeton AuthToken ainsi généré.

Utiliser le jeton AuthToken dans une URL

Une fois le jeton AuthToken récupéré, vous pouvez l'utiliser dans une URL afin de créer une session automatique sans les informations d'authentification.

Par exemple, pour un tableau de bord, on l'utilisera sous la forme suivante :
http://localhost:8080/digdash_dashboard/index.html?user=admin&authToken=token
Le paramètre authToken est à renseigner avec le jeton récupéré lors de l'étape pécédente.

Avancé : Emprunt d'identité

La méthode newAuthToken de l'API renvoie un jeton pour la session courante et l'utilisateur courant. Il faut donc avoir une session de cet utilisateur pour pouvoir appeler cette méthode et utiliser son résultat dans une URL.

Dans certains cas, c'est une contrainte et il est intéressant de pouvoir ouvrir une session pour un autre utilisateur (cible), à partir d'un utilisateur source. Il existe la méthode newAuthTokenAs qui prend un paramètre supplémentaire userId.

Les pré-requis suivants sont nécessaires pour pouvoir utiliser cette méthode :

  • Le système doit avoir la propriété PROP_NEWAUTHTOKENAS = true dans system.xml
  • L'utilisateur source doit avoir l'autorisation Admin > Permettre l'emprunt d'identité.

Une fois ces pré-requis remplis, procédez comme suit selon l'authentification utilisée :

  • Via une autorisation basique :

     Avec curl en utilisant l'option -u : le mot de passe vous sera demandé après exécution de la requête.

    curl -u <user> http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthTokenAs&userId=utilisateurCible

    En spécifiant le header soi-même : la requête a la forme suivante (exemple avec une requête curl) :

    curl -H "Authorization: Bearer <JWT>" "http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthTokenAs&userId=utilisateurCible"
  • Via un jeton JWT :
    Ce jeton JWT est généré via l'API REST DigDash sans utilisateur cible défini (tagertUser). Consultez le paragraphe Créer un jeton JWT pour plus de détails.

     La requête prend la forme suivante (exemple avec une requête curl) :

    curl -H "Authorization: Bearer <JWT>" "http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthTokenAs&userId=utilisateurCible"

     dans laquelle, <JWT> est à remplacer par le jeton JWT obtenu précédemment. 

  • Via une clé API :
    Cette clé API est générée via l'API REST DigDash sans utilisateur cible défini (targetUser). Consultez le paragraphe Créer une clé API pour plus de détails.
    La requête prend la forme suivante (exemple avec une requête curl) :

    curl -H "X-API-KEY: <apikey>" "http://localhost:8080/ddenterpriseapi/DDEnterpriseServlet?method=newAuthTokenAs&userId=utilisateurCible"

    dans laquelle, <apikey> est à remplacer par la clé API obtenue précédemment.  

Le paramètre method=newAuthTokenAs permet au retour de l'url ou de la requête de récupérer le nouveau jeton AuthToken ainsi généré.

Vous pouvez alors utiliser le jeton dans une URL afin de créer une session automatique sans les informations d'authentification.
Par exemple, pour un tableau de bord, sous la forme suivante :
http://localhost:8080/digdash_dashboard/index.html?user=utilisateurCible&authToken=token
Le paramètre authToken est à renseigner avec le jeton récupéré lors de l'étape pécédente.