Bonjour,

Ce n'est pas trop mon domaine, mais tout ce que je peux te dire, c'est que les mots de passe dans la base de donnée Joomla sont cryptés, donc que Joomla ne les connait pas.
Ne connaissant pas les mots de passe, il ne peux pas les envoyer.

Salut,

D'accord. Et au moment de l'inscription à son compte Joomla! serait-i faisable d'envoyer les paramètres avant le stockage en base ?

A+
Antoine

A ce moment, cela est faisable, mais il faudra utiliser un plugin spécifique.

Salut

Si tu vas "hacker" le plugin de création de compte, peut-être, ...

J'imagine que ton application tierce existe déjà et possède déjà sa gestion de mot de passe parce que sinon, si c'est du "from scratch" je ne peux que tu suggérer d'utiliser le hash généré par Joomla; cela parce qu'in fine, personne ne doit connaître un mot de passe excepté l'utilisateur lui-même. Si tu envoies le mot de passe en clair, c'est une petite brèche de sécurité que tu ouvres.

Tout à fait d'accord.

Bonjour,

En principe à partir de l'application, on interroge la base des utilisateurs de votre site joomla via une api ( par exemple celle de techjoomla : http://docs.techjoomla.com/com_api/ ).
et pas l'inverse... En vérifiant à travers une url de l'api, on obtient des infos comme l'id, une clé que l'on va stocker dans l'app (storagelocal).
Cette clé va permettre d'autoriser quelques actions ou filtre par rapport à son profil. C'est toute une gestion avec l'API Rest (il en existe plusieurs sur la JED).

Le système d'API ouvre un peu plus les possibilités mais il faudra nécessairement transmettre uniquement en https et choisir une extension API répondant à vos critères de sécurité.

Sur un site Joomla et également pour des raisons de sécurité, on ne diffuse plus et on ne conserve plus les mots de passe... Lors de l'inscription, on effectue un hachage du mot de passe à sens unique $2y$10... ( voir https://www.bcrypt.fr/ ). C'est un peu comme conserver une empreinte numérique, un résultat qui ne peut être obtenu uniquement avec le bon mot de passe associé au compte donc il me semble impossible de le décoder en récupérant la base de données.

Anecdote : Quand une entreprise m'a demandé d'envoyer obligatoirement un lien pour se connecter depuis l'email à chaque membre de leur site, j'ai utilisé acymailing entreprise. J'ai ajouté un champ contenant un mot de passe temporaire. J'ai injecté la liste contenant donc email et mot de passe temporaire puis envoyé un message très simple. Ce message contenait également un lien d'identification directe ( j'ai encodé l'identification et ce mot de passe dans une url pour se connecter directement). Dès la premiere connexion, le mot de passe devait être modifié pour continuer. Pour les retardataires qui n'ont pas lu le 1er message, j'ai relancé chaque jour jusqu'à la première connexion.
Ainsi j'ai pu répondre à l'attente tout en evitant les failles car chacun a pu recréer un mot de passe fort completement différent et en un seul clic

Merci pour toutes vos réponses, elles me permettent d'avancer dans ma réflexion. Pour l'aspect sécurité, il est évident que le site est en https. L'application cible l'est aussi. Donc c'est clairement faisable mais nécessite le développement d'un plugin sécurisé. Cela me gêne un peu car je n'avais pas identifié ce développement et je suis en mode restrictions budgétaires. Mais c'est une autre histoire ...

A+