Accès aux données
L'une des demandes des acteurs du programme de suivi BdQc soit que l'accès aux données soit sécurisé. La saisie et la manipulation des données doivent être contraintes aux chargés du projet, aux techniciens de terrain et aux chercheurs (par le biais d'entente de recherche). Pour répondre à cette demande, nous avons pour le moment établi deux stratégies permettant l'authentification des utilisateurs:
Stratégie par jeton d'accès révocable
C'est une stratégie d'authentification courante dans l'univers des API webs. Cette stratégie consiste à faire passer un jeton d'accès avec la requête faite par le client. Ce jeton d'accès est unique et détenu par un utilisateur. Il est directement stocké dans la base de données avec le rôle de l'utilisateur. Lorsqu'un appel/ une requète est faite sur l'API, l'API fait intervenir une couche d'authentification intermédiaire qui vérifiera la validité du jeton (c.a.d est-ce que le jeton est présent dans la base de données) et ainsi que la validité de la requête (c.a.d est-ce que le rôle associé au jeton est authorisé à accéder à la ressources). Le jeton d'accès sera utilisé pour tous les appels faits en direction de l'API (voir figure).
Stratégie locale
La plupart des systèmes informatique utilise ce type de stratégie d'authentification qui consiste à utiliser un nom d'utilisateur et un mot de passe. Cette stratégie sera priviligié pour se connecter au portail web destiné à la saisie des données du programme. Le mot de passe sera testé pour vérifier sa validité à l'intérieur de la base de données. Une fois authentifié, l'utilisateur sera amené à l'intérieur du portail.
La procédure d'inscription et d'accréditation doit encore être développée à ce stade. Nous envisageons de fonctionner par invitation d'inscription (courriel). L'administrateur (chargé de projet) sera responsable de définir le rôle attribué au nouvel utilisateur et par conséquent les règles d'accès aux données. Nous devrons donc établir un comité de travail en vue de définir les différents rôles et les règles d'accès aux données. Le portail web (disposant d'une statégie d'authentification locale) sera réservé strictement à la saisie de l'information collectée sur le terrain. L'accès à l'API (par jeton d'accès révocable) sera destiné aux partenaires externes (chercheurs ou autres) désireux d'accéder à l'information collectée.