« DeepSeek apiplatform keycloak » : différence entre les versions
Aucun résumé des modifications |
|||
| (47 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 3 : | Ligne 3 : | ||
API Platform et Keycloak sont deux technologies qui peuvent être utilisées ensemble pour créer des applications sécurisées et performantes. Voici quelques cas d'utilisation où leur combinaison est pertinente : | API Platform et Keycloak sont deux technologies qui peuvent être utilisées ensemble pour créer des applications sécurisées et performantes. Voici quelques cas d'utilisation où leur combinaison est pertinente : | ||
1. '''Applications Web et Mobiles Sécurisées''' | === 1. '''Applications Web et Mobiles Sécurisées'''=== | ||
:'''API Platform''' sert à exposer des API RESTful ou GraphQL pour votre application. | :'''API Platform''' sert à exposer des API RESTful ou GraphQL pour votre application. | ||
:'''Keycloak''' gère l'authentification et l'autorisation des utilisateurs via des protocoles comme OAuth2 et OpenID Connect. | :'''Keycloak''' gère l'authentification et l'autorisation des utilisateurs via des protocoles comme OAuth2 et OpenID Connect. | ||
:'''Cas d'utilisation''' : Une application web ou mobile qui nécessite une connexion utilisateur sécurisée (par exemple, une plateforme de e-commerce, une application bancaire, etc.). | :'''Cas d'utilisation''' : Une application web ou mobile qui nécessite une connexion utilisateur sécurisée (par exemple, une plateforme de e-commerce, une application bancaire, etc.). | ||
2. '''Microservices Architectures''' | === 2. '''Microservices Architectures'''=== | ||
:'''API Platform''' permet de créer des microservices exposant des API. | :'''API Platform''' permet de créer des microservices exposant des API. | ||
:'''Keycloak''' sécurise les communications entre les microservices en gérant les tokens d'accès et les permissions. | :'''Keycloak''' sécurise les communications entre les microservices en gérant les tokens d'accès et les permissions. | ||
:'''Cas d'utilisation''' : Une architecture de microservices où chaque service doit être sécurisé et accessible uniquement par des utilisateurs ou services autorisés. | :'''Cas d'utilisation''' : Une architecture de microservices où chaque service doit être sécurisé et accessible uniquement par des utilisateurs ou services autorisés. | ||
3. '''Single Sign-On (SSO)''' | === 3. '''Single Sign-On (SSO)'''=== | ||
:'''Keycloak''' permet de mettre en place un système de Single Sign-On (SSO) pour permettre aux utilisateurs de se connecter une seule fois et d'accéder à plusieurs applications. | :'''Keycloak''' permet de mettre en place un système de Single Sign-On (SSO) pour permettre aux utilisateurs de se connecter une seule fois et d'accéder à plusieurs applications. | ||
:'''API Platform''' expose les API nécessaires pour les applications qui utilisent le SSO. | :'''API Platform''' expose les API nécessaires pour les applications qui utilisent le SSO. | ||
:'''Cas d'utilisation''' : Une entreprise avec plusieurs applications internes (CRM, ERP, etc.) où les employés peuvent se connecter une fois et accéder à tous les services. | :'''Cas d'utilisation''' : Une entreprise avec plusieurs applications internes (CRM, ERP, etc.) où les employés peuvent se connecter une fois et accéder à tous les services. | ||
4. '''Gestion des Rôles et Permissions''' | === 4. '''Gestion des Rôles et Permissions'''=== | ||
:'''Keycloak''' gère les rôles et les permissions des utilisateurs. | :'''Keycloak''' gère les rôles et les permissions des utilisateurs. | ||
:'''API Platform''' utilise ces informations pour restreindre l'accès à certaines routes ou opérations en fonction des rôles. | :'''API Platform''' utilise ces informations pour restreindre l'accès à certaines routes ou opérations en fonction des rôles. | ||
:'''Cas d'utilisation''' : Une application avec des niveaux d'accès différents (par exemple, un système de gestion de contenu où les administrateurs peuvent tout modifier, mais les utilisateurs normaux ne peuvent que lire). | :'''Cas d'utilisation''' : Une application avec des niveaux d'accès différents (par exemple, un système de gestion de contenu où les administrateurs peuvent tout modifier, mais les utilisateurs normaux ne peuvent que lire). | ||
5. '''Applications Multi-Tenants''' | === 5. '''Applications Multi-Tenants'''=== | ||
:'''Keycloak''' peut gérer plusieurs clients (tenants) avec des utilisateurs et des permissions spécifiques. | :'''Keycloak''' peut gérer plusieurs clients (tenants) avec des utilisateurs et des permissions spécifiques. | ||
:'''API Platform''' expose des API qui peuvent être utilisées par différents clients tout en respectant les restrictions de chaque tenant. | :'''API Platform''' expose des API qui peuvent être utilisées par différents clients tout en respectant les restrictions de chaque tenant. | ||
:'''Cas d'utilisation''' : Une application SaaS où chaque client a ses propres utilisateurs et données, mais partage la même infrastructure. | :'''Cas d'utilisation''' : Une application SaaS où chaque client a ses propres utilisateurs et données, mais partage la même infrastructure. | ||
6. '''Intégration avec des Systèmes Externes''' | === 6. '''Intégration avec des Systèmes Externes'''=== | ||
:'''Keycloak''' peut être configuré pour intégrer des systèmes d'authentification externes (comme Google, Facebook, LDAP, etc.). | :'''Keycloak''' peut être configuré pour intégrer des systèmes d'authentification externes (comme Google, Facebook, LDAP, etc.). | ||
:'''API Platform''' expose des API qui peuvent être utilisées par ces systèmes externes pour interagir avec votre application. | :'''API Platform''' expose des API qui peuvent être utilisées par ces systèmes externes pour interagir avec votre application. | ||
:'''Cas d'utilisation''' : Une application qui permet aux utilisateurs de se connecter via des comptes sociaux ou des systèmes d'entreprise existants. | :'''Cas d'utilisation''' : Une application qui permet aux utilisateurs de se connecter via des comptes sociaux ou des systèmes d'entreprise existants. | ||
7. '''Sécurisation des API pour des Partenaires''' | === 7. '''Sécurisation des API pour des Partenaires'''=== | ||
:'''Keycloak''' peut être utilisé pour délivrer des tokens d'accès à des partenaires externes. | :'''Keycloak''' peut être utilisé pour délivrer des tokens d'accès à des partenaires externes. | ||
:'''API Platform''' expose des API sécurisées que ces partenaires peuvent consommer. | :'''API Platform''' expose des API sécurisées que ces partenaires peuvent consommer. | ||
:'''Cas d'utilisation''' : Une entreprise qui expose des API à des partenaires commerciaux pour intégrer des services (par exemple, un service de paiement, un service de livraison, etc.). | :'''Cas d'utilisation''' : Une entreprise qui expose des API à des partenaires commerciaux pour intégrer des services (par exemple, un service de paiement, un service de livraison, etc.). | ||
8. '''Audit et Conformité''' | === 8. '''Audit et Conformité'''=== | ||
:'''Keycloak''' fournit des logs et des informations d'audit sur les connexions et les accès. | :'''Keycloak''' fournit des logs et des informations d'audit sur les connexions et les accès. | ||
:'''API Platform''' peut être configuré pour enregistrer les accès aux API. | :'''API Platform''' peut être configuré pour enregistrer les accès aux API. | ||
:'''Cas d'utilisation''' : Une application qui doit respecter des normes de conformité strictes (comme GDPR, HIPAA, etc.) et doit pouvoir auditer qui a accédé à quelles données et quand. | :'''Cas d'utilisation''' : Une application qui doit respecter des normes de conformité strictes (comme GDPR, HIPAA, etc.) et doit pouvoir auditer qui a accédé à quelles données et quand. | ||
9. '''Applications avec des Besoins de Personnalisation''' | === 9. '''Applications avec des Besoins de Personnalisation'''=== | ||
:'''Keycloak''' permet de personnaliser les flux d'authentification et d'autorisation. | :'''Keycloak''' permet de personnaliser les flux d'authentification et d'autorisation. | ||
:'''API Platform''' permet de créer des API sur mesure pour répondre aux besoins spécifiques de l'application. | :'''API Platform''' permet de créer des API sur mesure pour répondre aux besoins spécifiques de l'application. | ||
:'''Cas d'utilisation''' : Une application qui nécessite des flux d'authentification complexes (par exemple, une application de santé avec des besoins spécifiques de consentement et de confidentialité). | :'''Cas d'utilisation''' : Une application qui nécessite des flux d'authentification complexes (par exemple, une application de santé avec des besoins spécifiques de consentement et de confidentialité). | ||
10. '''Protection contre les Attaques''' | === 10. '''Protection contre les Attaques'''=== | ||
:'''Keycloak''' offre des fonctionnalités de sécurité comme la détection de brute force, la vérification d'adresse IP, etc. | :'''Keycloak''' offre des fonctionnalités de sécurité comme la détection de brute force, la vérification d'adresse IP, etc. | ||
:'''API Platform''' peut être configuré pour limiter les taux d'accès (rate limiting) et protéger contre les attaques DDoS. | :'''API Platform''' peut être configuré pour limiter les taux d'accès (rate limiting) et protéger contre les attaques DDoS. | ||
| Ligne 56 : | Ligne 56 : | ||
== Comment fonctionne apiplatform et un sevrveur keycloak ensemble ? == | == Comment fonctionne apiplatform et un sevrveur keycloak ensemble ? == | ||
L'intégration d''''API Platform''' et d'un serveur '''Keycloak''' permet de créer une architecture sécurisée où les API sont protégées par un système d'authentification et d'autorisation robuste. Voici comment ces deux technologies fonctionnent ensemble : | L'intégration d''''API Platform''' et d'un serveur '''Keycloak''' permet de créer une architecture sécurisée où les API sont protégées par un système d'authentification et d'autorisation robuste. Voici comment ces deux technologies fonctionnent ensemble : | ||
--- | --- | ||
=== 1. '''Rôles de chaque composant''' === | === 1. '''Rôles de chaque composant''' === | ||
*'''API Platform''' : | *'''API Platform''' : | ||
| Ligne 68 : | Ligne 65 : | ||
:Serveur d'authentification et de gestion des identités. | :Serveur d'authentification et de gestion des identités. | ||
:Gère les utilisateurs, les rôles, les permissions, et délivre des tokens d'accès (JWT) via des protocoles comme OAuth2 et OpenID Connect. | :Gère les utilisateurs, les rôles, les permissions, et délivre des tokens d'accès (JWT) via des protocoles comme OAuth2 et OpenID Connect. | ||
--- | ---- | ||
=== 2. '''Flux d'intégration''' === | === 2. '''Flux d'intégration''' === | ||
Voici les étapes clés pour faire fonctionner API Platform et Keycloak ensemble : | Voici les étapes clés pour faire fonctionner API Platform et Keycloak ensemble : | ||
==== a. '''Configuration de Keycloak''' ==== | ==== a. '''Configuration de Keycloak''' ==== | ||
*1. '''Créer un Realm''' : | *1. '''Créer un Realm''' : | ||
| Ligne 87 : | Ligne 83 : | ||
:URL du serveur Keycloak. | :URL du serveur Keycloak. | ||
:Client ID et Client Secret (pour l'authentification côté serveur). | :Client ID et Client Secret (pour l'authentification côté serveur). | ||
==== b. '''Configuration d'API Platform''' ==== | ==== b. '''Configuration d'API Platform''' ==== | ||
===== 1. '''Installer un bundle de sécurité''' : ===== | ===== 1. '''Installer un bundle de sécurité''' : ===== | ||
| Ligne 104 : | Ligne 99 : | ||
- { path: ^/api, roles: ROLE_USER } | - { path: ^/api, roles: ROLE_USER } | ||
</syntaxhighlight> | </syntaxhighlight> | ||
===== 3. '''Valider les tokens JWT''' :===== | ===== 3. '''Valider les tokens JWT''' :===== | ||
* API Platform valide les tokens JWT reçus dans les requêtes en utilisant la clé publique de Keycloak. | * API Platform valide les tokens JWT reçus dans les requêtes en utilisant la clé publique de Keycloak. | ||
* La clé publique est généralement récupérée depuis l'endpoint `.well-known/jwks.json` de Keycloak. | * La clé publique est généralement récupérée depuis l'endpoint `.well-known/jwks.json` de Keycloak. | ||
==== c. '''Authentification des Utilisateurs''' ==== | ==== c. '''Authentification des Utilisateurs''' ==== | ||
*1. '''Flux OAuth2/OpenID Connect''' : | *1. '''Flux OAuth2/OpenID Connect''' : | ||
| Ligne 119 : | Ligne 112 : | ||
:API Platform valide le token JWT en utilisant la clé publique de Keycloak. | :API Platform valide le token JWT en utilisant la clé publique de Keycloak. | ||
:Si le token est valide, l'utilisateur est authentifié et les rôles/permissions sont extraits du token. | :Si le token est valide, l'utilisateur est authentifié et les rôles/permissions sont extraits du token. | ||
==== d. '''Autorisation''' ==== | ==== d. '''Autorisation''' ==== | ||
*Les rôles et permissions contenus dans le token JWT sont utilisés pour restreindre l'accès aux routes ou opérations spécifiques. | *Les rôles et permissions contenus dans le token JWT sont utilisés pour restreindre l'accès aux routes ou opérations spécifiques. | ||
| Ligne 135 : | Ligne 127 : | ||
} | } | ||
</syntaxhighlight> | </syntaxhighlight> | ||
---- | |||
--- | |||
=== 3. '''Exemple de flux complet''' === | === 3. '''Exemple de flux complet''' === | ||
| Ligne 150 : | Ligne 141 : | ||
:Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données demandées. | :Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données demandées. | ||
:Sinon, une erreur `401 Unauthorized` ou `403 Forbidden` est renvoyée. | :Sinon, une erreur `401 Unauthorized` ou `403 Forbidden` est renvoyée. | ||
--- | ---- | ||
=== 4. '''Avantages de cette intégration''' === | === 4. '''Avantages de cette intégration''' === | ||
| Ligne 164 : | Ligne 155 : | ||
==== 4. '''Gestion des utilisateurs''' : ==== | ==== 4. '''Gestion des utilisateurs''' : ==== | ||
:Keycloak offre une interface pour gérer les utilisateurs, les rôles, et les permissions. | :Keycloak offre une interface pour gérer les utilisateurs, les rôles, et les permissions. | ||
--- | ---- | ||
=== 5. '''Outils et Bibliothèques Utiles''' === | === 5. '''Outils et Bibliothèques Utiles''' === | ||
| Ligne 175 : | Ligne 166 : | ||
==== 3. '''Keycloak Admin Client''' : ==== | ==== 3. '''Keycloak Admin Client''' : ==== | ||
:Pour interagir avec Keycloak programmatiquement (créer des utilisateurs, des rôles, etc.). | :Pour interagir avec Keycloak programmatiquement (créer des utilisateurs, des rôles, etc.). | ||
--- | ---- | ||
En résumé, API Platform et Keycloak fonctionnent ensemble en utilisant des tokens JWT pour sécuriser les API.<br /> | En résumé, API Platform et Keycloak fonctionnent ensemble en utilisant des tokens JWT pour sécuriser les API.<br /> | ||
Keycloak gère l'authentification et l'autorisation, tandis qu'API Platform expose les API et valide les tokens pour garantir un accès sécurisé. | Keycloak gère l'authentification et l'autorisation, tandis qu'API Platform expose les API et valide les tokens pour garantir un accès sécurisé. | ||
| Ligne 183 : | Ligne 173 : | ||
Lorsque vous utilisez '''API Platform''' avec un serveur '''Keycloak''', il est important de comprendre la différence entre '''ID Token''' et '''Access Token''', car ces deux types de tokens ont des rôles distincts dans le processus d'authentification et d'autorisation. Voici une explication détaillée : | Lorsque vous utilisez '''API Platform''' avec un serveur '''Keycloak''', il est important de comprendre la différence entre '''ID Token''' et '''Access Token''', car ces deux types de tokens ont des rôles distincts dans le processus d'authentification et d'autorisation. Voici une explication détaillée : | ||
---- | |||
--- | |||
=== 1. '''Access Token'''=== | === 1. '''Access Token'''=== | ||
== '''Rôle''' : == | ==== a. '''Rôle''' : ==== | ||
:L''''Access Token''' est utilisé pour accéder aux ressources protégées (comme les API exposées par API Platform). | :L''''Access Token''' est utilisé pour accéder aux ressources protégées (comme les API exposées par API Platform). | ||
:Il est généralement inclus dans l'en-tête `Authorization` des requêtes HTTP sous la forme : | :Il est généralement inclus dans l'en-tête `Authorization` des requêtes HTTP sous la forme : | ||
:<code>Authorization: Bearer <Access_Token></code> | :<code>Authorization: Bearer <Access_Token></code> | ||
==== b. '''Contenu''' :==== | |||
:Il contient des informations sur les '''permissions''' (scopes) et les '''rôles''' de l'utilisateur. | |||
:Exemple de payload d'un Access Token (JWT) : | |||
<syntaxhighlight lang="json" line> | |||
{ | |||
"sub": "1234567890", // Identifiant de l'utilisateur | |||
"name": "John Doe", | |||
"roles": ["ROLE_USER", "ROLE_ADMIN"], | |||
"scope": "read write", | |||
"exp": 1672444800, // Date d'expiration | |||
"iat": 1672441200 // Date d'émission | |||
} | |||
</syntaxhighlight> | |||
==== c. '''Utilisation avec API Platform''' :==== | |||
*API Platform utilise l''''Access Token''' pour : | |||
:1. Authentifier l'utilisateur (vérifier que le token est valide et signé par Keycloak). | |||
:2. Autoriser l'accès aux routes ou opérations en fonction des rôles ou permissions contenus dans le token. | |||
---- | |||
===2. '''ID Token'''=== | |||
==== a. '''Rôle''' :==== | |||
:L''''ID Token''' est utilisé pour authentifier l'utilisateur auprès du client (application frontale ou mobile). | |||
:Il est généralement utilisé dans des flux '''OpenID Connect''' (OIDC) pour fournir des informations sur l'utilisateur. | |||
==== b. '''Contenu''' :==== | |||
:Il contient des informations sur l'utilisateur (comme son identifiant, son nom, son email, etc.). | |||
:Exemple de payload d'un ID Token (JWT) : | |||
<syntaxhighlight lang="json" line> | |||
{ | |||
"sub": "1234567890", // Identifiant de l'utilisateur | |||
"name": "John Doe", | |||
"email": "john.doe@example.com", | |||
"email_verified": true, | |||
"exp": 1672444800, // Date d'expiration | |||
"iat": 1672441200 // Date d'émission | |||
} | |||
</syntaxhighlight> | |||
==== c. '''Utilisation avec API Platform''' :==== | |||
*L''''ID Token''' n'est '''pas utilisé directement par API Platform'''. | |||
*Il est principalement utilisé par le client (frontend) pour : | |||
:1. Connaître les informations de l'utilisateur (nom, email, etc.). | |||
:2. Maintenir une session utilisateur côté client. | |||
<hr> | |||
===3. '''Différences clés entre ID Token et Access Token'''=== | |||
{| class="wikitable" style="margin:left" | |||
|+ | |||
|- | |||
! '''Aspect''' !! '''ID Token''' !! '''Access Token''' | |||
|- | |||
| '''But''' || Authentifier l'utilisateur côté client. || Accéder aux ressources protégées (API). | |||
|- | |||
| '''Public cible''' || Client (frontend ou application mobile). || Serveur (API Platform). | |||
|- | |||
| '''Contenu''' || Informations sur l'utilisateur (nom, email, etc.). || Serveur (API Platform). | |||
|- | |||
| '''Protocole''' || OpenID Connect (OIDC). || OAuth2. | |||
|- | |||
| '''Utilisation dans API Platform''' || Non utilisé directement. || Utilisé pour l'authentification et l'autorisation. | |||
|} | |||
---- | |||
===4. '''Flux typique avec API Platform et Keycloak'''=== | |||
====1. '''Authentification''' :==== | |||
:L'utilisateur se connecte via Keycloak (flux OAuth2/OpenID Connect). | |||
:Keycloak renvoie un '''ID Token''' et un '''Access Token''' au client. | |||
====2. '''Utilisation côté client''' :==== | |||
:Le client utilise l''''ID Token''' pour afficher les informations de l'utilisateur (nom, email, etc.). | |||
:Le client utilise l''''Access Token''' pour accéder aux API protégées. | |||
====3. '''Accès aux API''' :==== | |||
:Le client envoie l''''Access Token''' dans l'en-tête `Authorization` des requêtes API. | |||
:API Platform valide l''''Access Token''' et vérifie les permissions avant de renvoyer les données. | |||
---- | |||
===5. '''Exemple concret'''=== | |||
===='''Scénario''' :==== | |||
:Une application web utilise Keycloak pour l'authentification et API Platform pour exposer des API. | |||
===='''Étapes''' :==== | |||
=====1. '''Connexion''' :===== | |||
:L'utilisateur se connecte via Keycloak. | |||
: Keycloak renvoie : | |||
<syntaxhighlight lang="json" line> | |||
{ | |||
"id_token": "<ID_Token>", | |||
"access_token": "<Access_Token>", | |||
"refresh_token": "<Refresh_Token>" | |||
} | |||
</syntaxhighlight> | |||
=====2. '''Utilisation côté client''' :===== | |||
:Le client décode l''''ID Token''' pour afficher le nom et l'email de l'utilisateur. | |||
:Le client envoie l''''Access Token''' dans les requêtes API : | |||
<syntaxhighlight lang="html" line> | |||
GET /api/products | |||
Authorization: Bearer <Access_Token> | |||
</syntaxhighlight> | |||
=====3. '''Validation côté serveur''' :===== | |||
:API Platform valide l''''Access Token''' en utilisant la clé publique de Keycloak. | |||
:Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données. | |||
---- | |||
===6. '''Bonnes pratiques'''=== | |||
:'''Ne jamais exposer l'Access Token côté client''' : Il doit être utilisé uniquement pour accéder aux API. | |||
:'''Utiliser HTTPS''' : Pour protéger les tokens lors de leur transmission. | |||
:'''Vérifier les scopes et rôles''' : Assurez-vous que l'Access Token contient les permissions nécessaires pour accéder aux ressources. | |||
---- | |||
===7. '''En résumé''' === | |||
l''''ID Token''' est utilisé pour authentifier l'utilisateur côté client, tandis que l''''Access Token''' est utilisé pour accéder aux ressources protégées côté serveur (API Platform).<br /> | |||
Les deux sont essentiels dans une architecture sécurisée utilisant Keycloak et API Platform. | |||
=== [[ Mistral_apiplatform_keycloak | Voir les réponses aux mêmes questions posées à Mistral]] === | |||
[[category:DeepSeek]] [[category:api]] | [[category:DeepSeek]] [[category:api]] | ||
Dernière version du 15 février 2025 à 23:48
Dans quel cas d'utilisation peux on avoir apiplatform et un sevrveur keycloak ?
API Platform et Keycloak sont deux technologies qui peuvent être utilisées ensemble pour créer des applications sécurisées et performantes. Voici quelques cas d'utilisation où leur combinaison est pertinente :
1. Applications Web et Mobiles Sécurisées
- API Platform sert à exposer des API RESTful ou GraphQL pour votre application.
- Keycloak gère l'authentification et l'autorisation des utilisateurs via des protocoles comme OAuth2 et OpenID Connect.
- Cas d'utilisation : Une application web ou mobile qui nécessite une connexion utilisateur sécurisée (par exemple, une plateforme de e-commerce, une application bancaire, etc.).
2. Microservices Architectures
- API Platform permet de créer des microservices exposant des API.
- Keycloak sécurise les communications entre les microservices en gérant les tokens d'accès et les permissions.
- Cas d'utilisation : Une architecture de microservices où chaque service doit être sécurisé et accessible uniquement par des utilisateurs ou services autorisés.
3. Single Sign-On (SSO)
- Keycloak permet de mettre en place un système de Single Sign-On (SSO) pour permettre aux utilisateurs de se connecter une seule fois et d'accéder à plusieurs applications.
- API Platform expose les API nécessaires pour les applications qui utilisent le SSO.
- Cas d'utilisation : Une entreprise avec plusieurs applications internes (CRM, ERP, etc.) où les employés peuvent se connecter une fois et accéder à tous les services.
4. Gestion des Rôles et Permissions
- Keycloak gère les rôles et les permissions des utilisateurs.
- API Platform utilise ces informations pour restreindre l'accès à certaines routes ou opérations en fonction des rôles.
- Cas d'utilisation : Une application avec des niveaux d'accès différents (par exemple, un système de gestion de contenu où les administrateurs peuvent tout modifier, mais les utilisateurs normaux ne peuvent que lire).
5. Applications Multi-Tenants
- Keycloak peut gérer plusieurs clients (tenants) avec des utilisateurs et des permissions spécifiques.
- API Platform expose des API qui peuvent être utilisées par différents clients tout en respectant les restrictions de chaque tenant.
- Cas d'utilisation : Une application SaaS où chaque client a ses propres utilisateurs et données, mais partage la même infrastructure.
6. Intégration avec des Systèmes Externes
- Keycloak peut être configuré pour intégrer des systèmes d'authentification externes (comme Google, Facebook, LDAP, etc.).
- API Platform expose des API qui peuvent être utilisées par ces systèmes externes pour interagir avec votre application.
- Cas d'utilisation : Une application qui permet aux utilisateurs de se connecter via des comptes sociaux ou des systèmes d'entreprise existants.
7. Sécurisation des API pour des Partenaires
- Keycloak peut être utilisé pour délivrer des tokens d'accès à des partenaires externes.
- API Platform expose des API sécurisées que ces partenaires peuvent consommer.
- Cas d'utilisation : Une entreprise qui expose des API à des partenaires commerciaux pour intégrer des services (par exemple, un service de paiement, un service de livraison, etc.).
8. Audit et Conformité
- Keycloak fournit des logs et des informations d'audit sur les connexions et les accès.
- API Platform peut être configuré pour enregistrer les accès aux API.
- Cas d'utilisation : Une application qui doit respecter des normes de conformité strictes (comme GDPR, HIPAA, etc.) et doit pouvoir auditer qui a accédé à quelles données et quand.
9. Applications avec des Besoins de Personnalisation
- Keycloak permet de personnaliser les flux d'authentification et d'autorisation.
- API Platform permet de créer des API sur mesure pour répondre aux besoins spécifiques de l'application.
- Cas d'utilisation : Une application qui nécessite des flux d'authentification complexes (par exemple, une application de santé avec des besoins spécifiques de consentement et de confidentialité).
10. Protection contre les Attaques
- Keycloak offre des fonctionnalités de sécurité comme la détection de brute force, la vérification d'adresse IP, etc.
- API Platform peut être configuré pour limiter les taux d'accès (rate limiting) et protéger contre les attaques DDoS.
- Cas d'utilisation : Une application exposée à un large public qui doit être protégée contre les attaques courantes.
En résumé, la combinaison d'API Platform et de Keycloak est idéale pour toute application nécessitant une gestion robuste de l'authentification, de l'autorisation et de la sécurité, tout en exposant des API performantes et flexibles.
Comment fonctionne apiplatform et un sevrveur keycloak ensemble ?
L'intégration d'API Platform et d'un serveur Keycloak permet de créer une architecture sécurisée où les API sont protégées par un système d'authentification et d'autorisation robuste. Voici comment ces deux technologies fonctionnent ensemble : ---
1. Rôles de chaque composant
- API Platform :
- Framework pour créer et exposer des API RESTful ou GraphQL.
- Gère la logique métier, les routes, et les opérations sur les données.
- Keycloak :
- Serveur d'authentification et de gestion des identités.
- Gère les utilisateurs, les rôles, les permissions, et délivre des tokens d'accès (JWT) via des protocoles comme OAuth2 et OpenID Connect.
2. Flux d'intégration
Voici les étapes clés pour faire fonctionner API Platform et Keycloak ensemble :
a. Configuration de Keycloak
- 1. Créer un Realm :
- Un realm est un espace isolé dans Keycloak pour gérer les utilisateurs, les rôles, et les clients.
- 2. Créer un Client :
- Un client représente votre application (ou API) dans Keycloak.
- Configurer le client pour utiliser le protocole OAuth2 ou OpenID Connect.
- 3. Définir les Rôles et Permissions :
- Créer des rôles (par exemple, `ROLE_ADMIN`, `ROLE_USER`).
- Optionnellement, définir des permissions fines pour les ressources.
- 4. Configurer les Utilisateurs :
- Ajouter des utilisateurs et leur assigner des rôles.
- 5. Récupérer les informations de connexion :
- URL du serveur Keycloak.
- Client ID et Client Secret (pour l'authentification côté serveur).
b. Configuration d'API Platform
1. Installer un bundle de sécurité :
- Utiliser un bundle comme `lexik/jwt-authentication-bundle` pour gérer l'authentification JWT.
- Configurer le bundle pour valider les tokens JWT émis par Keycloak.
2. Configurer la sécurité :
- Dans `security.yaml`, définir les règles de sécurité pour les routes de l'API.
- Exemple :
security:
firewalls:
main:
stateless: true
jwt: ~
access_control:
- { path: ^/api, roles: ROLE_USER }
3. Valider les tokens JWT :
- API Platform valide les tokens JWT reçus dans les requêtes en utilisant la clé publique de Keycloak.
- La clé publique est généralement récupérée depuis l'endpoint `.well-known/jwks.json` de Keycloak.
c. Authentification des Utilisateurs
- 1. Flux OAuth2/OpenID Connect :
- L'utilisateur se connecte via Keycloak (par exemple, via un formulaire de connexion ou un bouton "Login with Keycloak").
- Keycloak renvoie un token JWT après une authentification réussie.
- 2. Utilisation du token :
- Le client (application frontale ou mobile) envoie le token JWT dans l'en-tête `Authorization` des requêtes API :
Authorization: Bearer <JWT_TOKEN>
- 3. Vérification du token :
- API Platform valide le token JWT en utilisant la clé publique de Keycloak.
- Si le token est valide, l'utilisateur est authentifié et les rôles/permissions sont extraits du token.
d. Autorisation
- Les rôles et permissions contenus dans le token JWT sont utilisés pour restreindre l'accès aux routes ou opérations spécifiques.
- Exemple :
#[ApiResource(
operations: [
new Get(security: "is_granted('ROLE_ADMIN')"),
new Post(security: "is_granted('ROLE_USER')"),
]
)]
class Product
{
// ...
}
3. Exemple de flux complet
1. Étape 1 : Authentification
- L'utilisateur se connecte via Keycloak (frontend ou application mobile).
- Keycloak renvoie un token JWT.
2. Étape 2 : Accès à l'API
- Le client envoie une requête à l'API avec le token JWT dans l'en-tête `Authorization`.
- API Platform valide le token et vérifie les permissions.
3. Étape 3 : Réponse
- Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données demandées.
- Sinon, une erreur `401 Unauthorized` ou `403 Forbidden` est renvoyée.
4. Avantages de cette intégration
1. Sécurité :
- Keycloak gère l'authentification de manière centralisée et sécurisée.
2. Flexibilité :
- API Platform permet de créer des API performantes et modulaires.
3. Interopérabilité :
- Les protocoles OAuth2 et OpenID Connect sont standardisés et largement supportés.
4. Gestion des utilisateurs :
- Keycloak offre une interface pour gérer les utilisateurs, les rôles, et les permissions.
5. Outils et Bibliothèques Utiles
1. lexik/jwt-authentication-bundle :
- Pour gérer l'authentification JWT dans Symfony (utilisé par API Platform).
2. web-token/jwt-framework :
- Pour manipuler les tokens JWT.
3. Keycloak Admin Client :
- Pour interagir avec Keycloak programmatiquement (créer des utilisateurs, des rôles, etc.).
En résumé, API Platform et Keycloak fonctionnent ensemble en utilisant des tokens JWT pour sécuriser les API.
Keycloak gère l'authentification et l'autorisation, tandis qu'API Platform expose les API et valide les tokens pour garantir un accès sécurisé.
Avec apiplatform et un sevrveur keycloak ensemble difference idtoken et accesstoken ?
Lorsque vous utilisez API Platform avec un serveur Keycloak, il est important de comprendre la différence entre ID Token et Access Token, car ces deux types de tokens ont des rôles distincts dans le processus d'authentification et d'autorisation. Voici une explication détaillée :
1. Access Token
a. Rôle :
- L'Access Token est utilisé pour accéder aux ressources protégées (comme les API exposées par API Platform).
- Il est généralement inclus dans l'en-tête `Authorization` des requêtes HTTP sous la forme :
Authorization: Bearer <Access_Token>
b. Contenu :
- Il contient des informations sur les permissions (scopes) et les rôles de l'utilisateur.
- Exemple de payload d'un Access Token (JWT) :
{
"sub": "1234567890", // Identifiant de l'utilisateur
"name": "John Doe",
"roles": ["ROLE_USER", "ROLE_ADMIN"],
"scope": "read write",
"exp": 1672444800, // Date d'expiration
"iat": 1672441200 // Date d'émission
}
c. Utilisation avec API Platform :
- API Platform utilise l'Access Token pour :
- 1. Authentifier l'utilisateur (vérifier que le token est valide et signé par Keycloak).
- 2. Autoriser l'accès aux routes ou opérations en fonction des rôles ou permissions contenus dans le token.
2. ID Token
a. Rôle :
- L'ID Token est utilisé pour authentifier l'utilisateur auprès du client (application frontale ou mobile).
- Il est généralement utilisé dans des flux OpenID Connect (OIDC) pour fournir des informations sur l'utilisateur.
b. Contenu :
- Il contient des informations sur l'utilisateur (comme son identifiant, son nom, son email, etc.).
- Exemple de payload d'un ID Token (JWT) :
{
"sub": "1234567890", // Identifiant de l'utilisateur
"name": "John Doe",
"email": "john.doe@example.com",
"email_verified": true,
"exp": 1672444800, // Date d'expiration
"iat": 1672441200 // Date d'émission
}
c. Utilisation avec API Platform :
- L'ID Token n'est pas utilisé directement par API Platform.
- Il est principalement utilisé par le client (frontend) pour :
- 1. Connaître les informations de l'utilisateur (nom, email, etc.).
- 2. Maintenir une session utilisateur côté client.
3. Différences clés entre ID Token et Access Token
| Aspect | ID Token | Access Token |
|---|---|---|
| But | Authentifier l'utilisateur côté client. | Accéder aux ressources protégées (API). |
| Public cible | Client (frontend ou application mobile). | Serveur (API Platform). |
| Contenu | Informations sur l'utilisateur (nom, email, etc.). | Serveur (API Platform). |
| Protocole | OpenID Connect (OIDC). | OAuth2. |
| Utilisation dans API Platform | Non utilisé directement. | Utilisé pour l'authentification et l'autorisation. |
4. Flux typique avec API Platform et Keycloak
1. Authentification :
- L'utilisateur se connecte via Keycloak (flux OAuth2/OpenID Connect).
- Keycloak renvoie un ID Token et un Access Token au client.
2. Utilisation côté client :
- Le client utilise l'ID Token pour afficher les informations de l'utilisateur (nom, email, etc.).
- Le client utilise l'Access Token pour accéder aux API protégées.
3. Accès aux API :
- Le client envoie l'Access Token dans l'en-tête `Authorization` des requêtes API.
- API Platform valide l'Access Token et vérifie les permissions avant de renvoyer les données.
5. Exemple concret
Scénario :
- Une application web utilise Keycloak pour l'authentification et API Platform pour exposer des API.
Étapes :
1. Connexion :
- L'utilisateur se connecte via Keycloak.
- Keycloak renvoie :
{
"id_token": "<ID_Token>",
"access_token": "<Access_Token>",
"refresh_token": "<Refresh_Token>"
}
2. Utilisation côté client :
- Le client décode l'ID Token pour afficher le nom et l'email de l'utilisateur.
- Le client envoie l'Access Token dans les requêtes API :
GET /api/products
Authorization: Bearer <Access_Token>
3. Validation côté serveur :
- API Platform valide l'Access Token en utilisant la clé publique de Keycloak.
- Si le token est valide et que l'utilisateur a les permissions nécessaires, l'API renvoie les données.
6. Bonnes pratiques
- Ne jamais exposer l'Access Token côté client : Il doit être utilisé uniquement pour accéder aux API.
- Utiliser HTTPS : Pour protéger les tokens lors de leur transmission.
- Vérifier les scopes et rôles : Assurez-vous que l'Access Token contient les permissions nécessaires pour accéder aux ressources.
7. En résumé
l'ID Token est utilisé pour authentifier l'utilisateur côté client, tandis que l'Access Token est utilisé pour accéder aux ressources protégées côté serveur (API Platform).
Les deux sont essentiels dans une architecture sécurisée utilisant Keycloak et API Platform.