Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 19/10/2015, à 09:10

Morgiver

Sécurité des JSON Web Token

Salut,

J'approche le développement d'application REST et pour l'instant je me concentre surtout sur l'authentification avec les Json Web Token.
Il y a un truc qui m'échappe, je n'arrive pas à comprendre comment être sur que même dans une url, on peut balancer un JWT.

Un attaquant pourrait simplement écouter les requêtes et choper le token, il n'aurait plus qu'a l'utiliser pour se faire passer pour moi.
Je ne comprend pas comment le serveur peut valider la source du token étant donné qu'il est encodé coté serveur et non pas coté client.

Si ça se passait avec une pair de clé, j'aurais compris, chacun encode le token et le tour est joué.

Quelqu'un saurait m'aider à comprendre ?

Un grand merci d'avance smile

Morgiver

http://www.morgiver.net/

Hors ligne

#2 Le 19/10/2015, à 12:42

voxdemonix

Re : Sécurité des JSON Web Token

Morgiver a écrit :

Un attaquant pourrait simplement écouter les requêtes et choper le token, il n'aurait plus qu'a l'utiliser pour se faire passer pour moi.

C'est pour ça que l'on a inventé https et que l'on fait souvent correspondre les tokens avec d'autres infos (IP, User Agent, geolocalisation).

Morgiver a écrit :

Je ne comprend pas comment le serveur peut valider la source du token étant donné qu'il est encodé coté serveur et non pas coté client.

D'après ce lien ils utilisent un mécanisme de signature basé sur du Sha256 pour valider le token, et non la source.

Dernière modification par voxdemonix (Le 19/10/2015, à 12:43)

Hors ligne

#3 Le 29/10/2015, à 13:04

Morgiver

Re : Sécurité des JSON Web Token

Salut Voxdemonix !

J'ai continué les recherches et en effet, le JWT doit être soigneusement configuré pour être utilisé, même en clair.

Pour plus d'infos pour ceux/celles qui tomberaient sur ce post par hasard, voici une liste d'articles intéressant :

Une petite intro rapide : http://jwt.io/introduction/
Un article de fond, expliquant ce que c'est que les JWT, dans un contexte d'utilisation de Laravel et AngularJS : http://www.toptal.com/web/cookie-free-a … -angularjs
Comparaison entre les JWT et les Cookies : https://auth0.com/blog/2014/01/07/angul … -vs-token/
De la pratique des JWT dans un contexte d'utilisation de socket.io : https://auth0.com/blog/2014/01/15/auth-with-socket-io/
De la pratique des JWT dans un contexte d'utilisation de NodeJS et AngularJS : http://code.tutsplus.com/tutorials/toke … -cms-22543

C'est vraiment pas mal, mais faut être au poil sur la configuration du Token, sinon ça peut vite ouvrir une brèche.

Dernière modification par Morgiver (Le 29/10/2015, à 13:14)

http://www.morgiver.net/

Hors ligne

Pages : 1