Merci beaucoup pour vos réponses Julien et Cyril. Oui je trouve ça assez lourd et contraignant aussi. Il s'agit de deux applications "qui se font confiances" mais appartenant à deux entités différentes et hébergées sur deux SI différents.
En cherchant, j'ai vu qu'il existe un cas de OAuth qui correspondrait bien à mon besoin : le Client credentials Grant (http://tools.ietf.org/html/rfc6749#section-4.4). En gros l'application B donne un client_id et un client_secret à l'application A et elle peut ensuite effectuer des requêtes API directement en demandant à chaque fois un token. Du coup, cela permet de gérer les appels à l'API sans que l'utilisateur ne soit impliqué là dedans. Il me reste toutefois une interrogation à savoir comment faire un sorte qu'un client sur l'application A qui interroge ses stocks sur l'application B ne puisse pas accéder aux stocks des autres clients. Il faut en effet un moyen d'identifier le client sur l'application B et de l'empêcher de passer un identifiant différent. Qu'en pensez vous ? -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement envoyez un e-mail à l'adresse [email protected] --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, visitez le site https://groups.google.com/d/optout .
