Le Guide API ReST | Marmicode
👨🏻‍🍳 Marmicode.fr👨🏻‍💻 Consulting & Code Review✉️ Help!
Rechercher…
Le Guide API ReST par Marmicode
API ReST
Conventions & Bonnes Pratiques
Les Outils
Sécurité des APIs ReST
OWASP Top 10
Authentification et Session Management
Autorisation et Gestion des Permissions
Validation, Canonicalization, Escaping & Sanitization
Cookies are EVIL
C.O.R.S.
C.S.R.F.
C.S.R.F. & Media Type
C.S.R.F. Mitigation
C.S.R.F. & "Resource Linking"
J.O.S.E.
J.W.T.
Description et Fonctionnement de JWT
Usages et Avantages
Utilisation de JWT pour l’Authentification
JWT, Authentification, Sessions et Risques Sécurité
Recommandations JWT
OAuth 2
OpenID Connect
Autres Spécifications
Quelques Liens & Ressources
Stay Tuned
📝Blog
🐦Twitter
📬Newsletter
Propulsé par GitBook
Recommandations JWT
Il faut utiliser des clés RSA pour la signature.
Il faut instaurer une rotation régulière et automatique des clés. Les clés publiques doivent être publiées automatiquement également.
Etant donné que la rotation doit avoir une durée plus longue que la durée de vie des tokens, il faut réduire la durée de vie des tokens. (E.g. : l’implémentation OpenID Connect de Google semble appliquer une rotation de 3 à 4 jours mais je recommanderais une durée encore plus courte)
Pour réduire les risques, utilisez de nombreuses clés.
Idéalement, les clés secrètes ne devraient être manipulées que par des services dédiés hautement sécurisés avec des mécanismes de monitoring avancés type HSM (Hardware Security Module) ou KMS (Key Management Service).

Azure / AWS / GCP KMS

Key Vault | Microsoft Azure
Microsoft Azure
Key Management Service - Amazon Web Services (AWS)
Amazon Web Services, Inc.
Cloud Key Management  |  Google Cloud
Google Cloud

Exemple d'utilisation NodeJS / AWS

GitHub - jonathankeebler/jwt-kms: Sign and validate JWT tokens using keys stored in the AWS Key Management Service (KMS).
GitHub

Hashicorp's Vault Transit keys

...et non pas en simple KV Secret Engine

JWT comme mécanisme complémentaire

Les tokens JWT peuvent être utilisés comme mécanisme complémentaire d’un mécanisme de token classique. On peut wrapper des tokens dans un token JWT afin de vérifier rapidement leur validité et leur expiration avant de le vérifier auprès d’une base de données ou d’un tiers.
Précédent
JWT, Authentification, Sessions et Risques Sécurité
Suivant
OAuth 2
Dernière mise à jour 1yr ago
Copier le lien
Sommaire
Azure / AWS / GCP KMS
Exemple d'utilisation NodeJS / AWS
Hashicorp's Vault Transit keys
JWT comme mécanisme complémentaire