Forum: Rails France RSS sécurisé

Announcement (2017-05-07): www.ruby-forum.com is now read-only since I unfortunately do not have the time to support and maintain the forum any more. Please see rubyonrails.org/community and ruby-lang.org/en/community for other Rails- und Ruby-related community platforms.
4f81c4625f783336298267bb2dcfc8e3?d=identicon&s=25 Tranquiliste (Guest)
on 2009-02-05 14:32
(Received via mailing list)
Bonjour,

Sur mon site, j'ai des discussions accessibles uniquement aux membres
(enregistrés et loggés) et j'aimerai savoir s'il y a un moyen de gérer
du rss sécurisé avec rails?

Merci
Nicolas
Be1e3ee645d23c95ba650c21bc885927?d=identicon&s=25 Fabien Jakimowicz (Guest)
on 2009-02-05 14:36
(Received via mailing list)
2009/2/5 Tranquiliste <nicolas.aguttes@googlemail.com>

>
> Bonjour,
>
> Sur mon site, j'ai des discussions accessibles uniquement aux membres
> (enregistrés et loggés) et j'aimerai savoir s'il y a un moyen de gérer
> du rss sécurisé avec rails?
>
>
 Si par rss sécurisé tu veux dire privé, le moyen utilisé par la plupart
des
sites (dont github) pour privatiser des rss est un hash par flux.
L'adresse
ainsi générée avec le hash est connue des seuls interessés.

--
http://fabien.jakimowicz.com
4f81c4625f783336298267bb2dcfc8e3?d=identicon&s=25 Tranquiliste (Guest)
on 2009-02-05 14:53
(Received via mailing list)
On Feb 5, 2:35 pm, Fabien Jakimowicz <fab...@jakimowicz.com> wrote:
>  Si par rss sécurisé tu veux dire privé, le moyen utilisé par la plupart des
> sites (dont github) pour privatiser des rss est un hash par flux. L'adresse
> ainsi générée avec le hash est connue des seuls interessés.

Peux tu préciser? Je ne suis pas sur de bien comprendre comment
çamarche?

Merci
Be1e3ee645d23c95ba650c21bc885927?d=identicon&s=25 Fabien Jakimowicz (Guest)
on 2009-02-05 15:04
(Received via mailing list)
2009/2/5 Tranquiliste <nicolas.aguttes@googlemail.com>

> > > Sur mon site, j'ai des discussions accessibles uniquement aux membres
> marche?
>
>
En gros, tu vas avoir une chaine de caractères (hash) générée de façon
unique pour chaque utilisateur ou resource que tu souhaites dévoiler via
RSS
: 2993b6b548000a80989a20549e7558a5 par exemple.
Cette chaine, tu la passes en argument d'une url :
http://monapp.com/rss/2993b6b548000a80989a20549e7558a5

Et dans ton controlleur associé, tu vas charger les données associées à
ce
hash puis rendre la vue. Si c'est un flux qui est directement lié a
l'utilisateur, tu peux la stocker dans la table user et charger l'user
avec
le hash.
Si c'est lié à un autre modèle, stocke là dans la table de cet autre
modèle.
Si c'est plus complexe et que tu as plusieurs flux privés pointant sur
diverses resources, tu peux utiliser une relation polymorphique (je
t'invite
à la doc rails pour ce point) pour lier tes resources à un modèle
(private_url par exemple) représentant le hash. Tu charges alors la
bonne
instance (@private_url = PrivateUrl.find_by_value(params[:hash])) et tu
peux
alors accéder à la resource sur laquelle pointe la relation
polymorphique
(@private_url.resource_to_serve).

Pour transmettre les url aux bonnes personnes, il te faut juste ajouter
les
liens (http://monapp.com/rss/2993b6b548000a80989a20549e7558a5) aux bons
endroits dans ton appli et accessible aux bonnes personnes.

J'aurais du le préciser avant, mais il est évident que l'accès aux flux
rss
(http://monapp.com/rss/2993b6b548000a80989a20549e7558a5) se fait sans
aucune
authentification : les applications de lecture de flux rss ne pouvant
s'authentifier. Le côté privée/sécurisé est préservé par la divulgation
des
urls aux personnes pouvant y accéder.

Enfin, pour plus de sécurité, tu peux aussi ajouter un lien permettant
aux
personnes accédant a un flux de regénérer un hash si jamais l'adresse à
été
rendue publique.

--
http://fabien.jakimowicz.com
A99870c1391c39da2089649745965bda?d=identicon&s=25 Jean-François Trân (Guest)
on 2009-02-05 15:06
(Received via mailing list)
Le 5 février 2009 14:53, Nicolas :
>>  Si par rss sécurisé tu veux dire privé, le moyen utilisé par la
>> plupart des sites (dont github) pour privatiser des rss est un
>> hash par flux. L'adresse ainsi générée avec le hash est connue
>> des seuls interessés.
>
> Peux tu préciser? Je ne suis pas sur de bien comprendre
> comment ça marche?

C'est comme les liens d'activation, tu passes par une URL
dont une partie est difficile à deviner, typiquement on passe par
une fonction de confusion style empreinte MD5 b6da868f4823c...

    -- Jean-François.

--
http://twitter.com/underflow_
855c677aca7319a44da19fb583b9f320?d=identicon&s=25 Nicolas Cavigneaux (Guest)
on 2009-02-05 18:29
(Received via mailing list)
Le 5 févr. 09 à 14:35, Fabien Jakimowicz a écrit :

> plupart des sites (dont github) pour privatiser des rss est un hash
> par flux. L'adresse ainsi générée avec le hash est connue des seuls
> interessés.


Et un http simple auth, ça ne fonctionnerait pas ?

--
Nicolas Cavigneaux
http://www.bounga.org
http://www.cavigneaux.net
Be1e3ee645d23c95ba650c21bc885927?d=identicon&s=25 Fabien Jakimowicz (Guest)
on 2009-02-05 18:31
(Received via mailing list)
2009/2/5 Nicolas Cavigneaux <nico@bounga.org>:
>>
>
>  Si par rss sécurisé tu veux dire privé, le moyen utilisé par la plupart des
> sites (dont github) pour privatiser des rss est un hash par flux. L'adresse
> ainsi générée avec le hash est connue des seuls interessés.
>
> Et un http simple auth, ça ne fonctionnerait pas ?

Ca peut, mais cela oblige à indiquer le login/pass en clair dans l'url
dans des sites qui font de l'aggrégation comme google reader par
exemple.

De plus, je ne suis pas sur que tous les clients supportent ce passage
d'argument dans ou en dehors de l'url ...

--
http://fabien.jakimowicz.com
5454237fb255a31b5948c71d5db9290b?d=identicon&s=25 Jordan Bracco (Guest)
on 2009-02-05 18:52
(Received via mailing list)
2009/2/5 Fabien Jakimowicz <fabien@jakimowicz.com>:
>>> (enregistrés et loggés) et j'aimerai savoir s'il y a un moyen de gérer
> dans des sites qui font de l'aggrégation comme google reader par
> exemple.
>
> De plus, je ne suis pas sur que tous les clients supportent ce passage
> d'argument dans ou en dehors de l'url ...
>

Google Reader supporte pas l'authentification HTTP (Netvibes si.).

Donc, la meilleure solution, c'est l'hash dans l'URL du flux RSS :)
4f81c4625f783336298267bb2dcfc8e3?d=identicon&s=25 Tranquiliste (Guest)
on 2009-02-05 19:32
(Received via mailing list)
Hello,

Merci pour ces renseignements
This topic is locked and can not be replied to.