Recommandations JWT

Il faut utiliser des clés RSA pour la signature.
Il faut instaurer une rotation régulière et automatique des clés.
Les clés publiques doivent être publiées automatiquement également.
Etant donné que la rotation doit avoir une durée plus longue que la durée de vie des tokens, il faut réduire la durée de vie des tokens. (E.g. : l’implémentation OpenID Connect de Google semble appliquer une rotation de 3 à 4 jours mais je recommanderais une durée encore plus courte)
Pour réduire les risques, utilisez de nombreuses clés.
Idéalement, les clés secrètes ne devraient être manipulées que par des services dédiés hautement sécurisés avec des mécanismes de monitoring avancés type HSM (Hardware Security Module) ou KMS (Key Management Service).
Azure / AWS / GCP KMS
Key Vault | Microsoft Azure
Safeguard cryptographic keys and other secrets used by cloud apps and services with Microsoft Azure Key Vault. Try it now.
azure.microsoft.com
Key Management Service - Amazon Web Services (AWS)
aws.amazon.com
Cloud Key Management  |  Google Cloud
Encryption key management enables data protection for security and privacy. Key management systems and services are critical for data security.
cloud.google.com
Exemple d'utilisation NodeJS / AWS
jonathankeebler/jwt-kms
Sign and validate JWT tokens using keys stored in the AWS Key Management Service (KMS). - jonathankeebler/jwt-kms
github.com
Hashicorp's Vault Transit keys
...et non pas en simple KV Secret Engine
​https://www.vaultproject.io/api/secret/transit#sign-data

JWT comme mécanisme complémentaire
Les tokens JWT peuvent être utilisés comme mécanisme complémentaire d’un mécanisme de token classique. On peut wrapper des tokens dans un token JWT afin de vérifier rapidement leur validité et leur expiration avant de le vérifier auprès d’une base de données ou d’un tiers.
JWT, Authentification, Sessions et Risques Sécurité
OAuth 2
Dernière mise à jour 5 months ago